Le Zero Trust est une approche architecturale et un objectif en matière de sécurité du réseau, qui suppose que toute transaction, entité et identité n’est pas fiable, jusqu’à ce que la confiance soit établie et maintenue au fil du temps. Les stratégies ZT diffèrent de la vision existante selon laquelle un réseau est sécurisé, sauf si les systèmes de sécurité identifient une violation.
Au cours de la dernière décennie, les entreprises se sont de plus en plus tournées vers le numérique. Elles intègrent désormais l’architecture cloud, intègrent davantage le télétravail et ont ajouté des solutions as-a-service, entre autres changements transformationnels. Les équipes de sécurité ont fait évoluer la sécurité des réseaux en conséquence. Pour cela, elles ont souvent renforcé les protections en segmentant le réseau en zones plus petites.
Malheureusement, cette stratégie a créé davantage d’occasions pour les attaquants. Lorsque les attaquants accèdent aux informations de connexion d’un utilisateur, ils peuvent se déplacer latéralement sur le réseau, en répandant des ransomware et en acquérant des privilèges au passage.
L’authentification (MFA) multi-facteur a amélioré la résistance des données d'identification, mais a ajouté une couche d’authentification supplémentaire. Une fois à l’intérieur, les pirates bénéficient toujours d’un accès continu jusqu’à ce qu’ils se déconnectent ou jusqu’à ce que le système les déconnecte.
Les nouvelles méthodes de travail, comme le BYOD (Bring Your Own Device), le télétravail et l’architecture cloud ont ajouté un nouvel ensemble de vulnérabilités. Malheureusement, même les nouvelles protections de cybersécurité plus solides, offrant une meilleure visibilité, s'arrêtent à la périphérie du réseau de l’entreprise et sont aveugles au-delà.
L'approche ZT de la cybersécurité inverse l’ancien paradigme. La cybersécurité n’est plus définie par des segments de réseau ou par les limites du réseau d’une entreprise. La confiance n’est plus accordée en se basant sur le fait qu’une connexion ou un actif appartienne à une entreprise ou à une personne. Elle n’est pas non plus accordée selon l’emplacement physique ou sur le réseau : Internet ou réseau local.
L'approche ZT se concentre en revanche sur les ressources, les utilisateurs et les actifs individuels, qui que soient leurs propriétaires et quel que soit leur emplacement. L’authentification a lieu individuellement, pour chaque ressource d’entreprise, avant qu’un utilisateur ne reçoive une autorisation d'accès.
L’objectif ultime est d’obtenir une approche Zero Trust sur tout élément du réseau, avant qu'il ne soit vérifié.
Si l'on se demande quelles sont les certifications et normes Zero Trust, la réponse rapide est qu’elles n’existent pas. Le NIST ( National Institute of Standards and Technology ), fondé en 1901 et désormais intégré au département du commerce des États-Unis, fournit des informations sur les technologies, les mesures et les normes pour les États-Unis. Son objectif est d’augmenté la compétitivité technologique.
Le NIST crée des normes pour les pratiques de communications, de technologie et de cybersécurité. Il n’a pas encore créé de normes ni de certifications pour le Zero Trust, mais il a créé une publication spéciale, Special Publication (SP), évoquant les objectifs d’une architecture ZT.
Le résumé du document décrit le Zero Trust de la manière suivante : « Le Zero Trust est un terme qui désigne un ensemble évolutif de paradigmes de cybersécurité qui font passer les défenses de périmètres statiques, basés sur le réseau, à une concentration sur les utilisateurs, les actifs et les ressources. » Le document décrit ensuite l'approche Zero Trust en profondeur.
Dans le monde de la cybersécurité, il existe une certaine confusion autour de la définition de la ZT. Certains fournisseurs profitent de cette confusion pour vendre des produits étiquetés comme étant ZT. Les personnes mal informées peuvent ainsi penser, à tort, que le ZT est basé sur des produits.
Le ZT n’est pas propre à des produits, bien que ceux nouveaux et existants puissent constituer des blocs de construction pour son architecture. Le ZT constitue une approche révolutionnaire de la cybersécurité. Il s’inscrit fermement dans la manière concrète dont les organisations et les employés se connectent et travaillent ensemble aujourd’hui.
Si une entreprise crée son infrastructure en partant de zéro, il est possible, et peut-être même plus simple, d’identifier les flux de travail et composants essentiels, et de construire entièrement l’architecture ZT. À mesure que l’entreprise et l’infrastructure changent, la croissance peut continuer à respecter les principes de ZT sur le long terme.
Dans la pratique, la plupart des mises en œuvre de ZT s’effectueront sous forme de processus. Les organisations préserveront un certain équilibre de ZT et une sécurité basée sur le périmètre dans le temps, en mettant en œuvre progressivement des initiatives de modernisation.
La mise en place complète d'une architecture ZT peut prendre plusieurs années et regroupe différents projets discrets, avant d’atteindre l’objectif ultime du Zero Trust. Cependant, il n’y a pas de ligne d'arrivée avec le ZT. Il faut plutôt continuer à mettre en œuvre et à appliquer la stratégie de ZT au fil du temps, en prenant en compte les futurs changements de l’entreprise et de l’infrastructure.
Le développement d’un plan avant d'agir peut diviser le processus en fragments, et assurer la réussite dans le temps. Commencer par un catalogue complet de sujets, de processus métier, de flux de trafic et de cartes de dépendance vous prépare à traiter les sujets, actifs et processus métier ciblés.
Si une entreprise crée son infrastructure en partant de zéro, il est possible, et peut-être même plus simple, d’identifier les flux de travail et composants essentiels, et de construire entièrement l’architecture ZT. À mesure que l’entreprise et l’infrastructure changent, la croissance peut continuer à respecter les principes de ZT sur le long terme.
Dans la pratique, la plupart des mises en œuvre de ZT s’effectueront sous forme de processus. Les organisations préserveront un certain équilibre de ZT et une sécurité basée sur le périmètre dans le temps, en mettant en œuvre progressivement des initiatives de modernisation.
La mise en place complète d'une architecture ZT peut prendre plusieurs années et regroupe différents projets discrets, avant d’atteindre l’objectif ultime du Zero Trust. Cependant, il n’y a pas de ligne d'arrivée avec le ZT. Il faut plutôt continuer à mettre en œuvre et à appliquer la stratégie de ZT au fil du temps, en prenant en compte les futurs changements de l’entreprise et de l’infrastructure.
Le développement d’un plan avant d'agir peut diviser le processus en fragments, et assurer la réussite dans le temps. Commencer par un catalogue complet de sujets, de processus métier, de flux de trafic et de cartes de dépendance vous prépare à traiter les sujets, actifs et processus métier ciblés.
L’architecture ZT est un objectif et une approche dont la mise en œuvre demande du temps et de l’attention. Il ne s'agit pas d’une installation unique que vous pouvez déployer avant de passer à la suivante. Il s'agit d'une philosophie de cybersécurité soutenue par quatre principes principaux. L’un d’eux peut reposer sur une technique de sécurité en particulier, comme la MFA pour l’identité, mais la technique utilisée au fil du temps peut changer.
Trois fonctions basiques sous-tendent l’approche ZT.
Le ZT doit être mis en œuvre progressivement et appliqué en continu. Il ne s'agit pas d’un remplacement complet ou d'un déploiement unique, qui reste ensuite en place pendant toute la durée de vie du réseau. Il s'agit d'un processus incrémentiel sur plusieurs années et projets, qui implique plusieurs aspects du réseau et nécessitera une évaluation constante, à mesure que les habitudes de travail, les technologies et les menaces évoluent.
La façon dont votre organisation met en œuvre l’approche ZT dépend de vos opérations. Vos actifs les plus précieux constituent un bon point de départ.
Le parcours ZT inclut quatre composants :
Commencez par une base solide d’architecture Zero Trust, respectueuse des bonnes pratiques du secteur.