Le slogan Zero Trust est le suivant : « Ne jamais faire confiance, toujours vérifier ».
Pour réellement protéger votre organisation aujourd’hui, vous devez mettre en œuvre un modèle de sécurité Zero Trust et respecter les principes se trouvant au cœur de cette approche :
Le modèle Zero Trust vérifie en continu les autorisations d’accès utilisateur (humains et machines) à toutes les ressources demandées (sur site, Cloud et hybrides), et surveille et compare les actions des utilisateurs à des analyses comportementales de référence pour vérifier la présence d’anomalies éventuelles pouvant nécessiter des contrôles plus poussés et/ou une réponse immédiate.
L’approche Zero Trust est un modèle éprouvé pour la mise en œuvre d’une sécurité solide et sélective. Elle consiste à supprimer les autorisations vulnérables, les accès inutiles et excessifs au profit d’une délégation spécifique et d’un provisioning adapté avec une granularité fine.
Le succès de l’approche Zero Trust commence par la mise en place d’un dispositif suffisamment étendu pour gérer la prolifération des identités. Il faut ainsi se concentrer non seulement sur les identités des personnes, mais aussi sur celles des machines, ainsi que sur les comptes en pleine expansion à mesure que les organisations évoluent vers un paysage informatique multigénérationnel, hybride et en périphérie. Si vous tracez un cercle trop petit, vous risquez de laisser la porte ouverte aux attaquants.
Un autre prérequis important, c’est de changer votre état d’esprit : il ne s’agit plus de suivre l’approche traditionnelle qui consiste à vouloir tout protéger, en optimisant la sécurité dans les limites d’un certain périmètre. Il s’agit désormais de se rendre à l’évidence : le compromis est inévitable, et il va falloir optimiser les investissements pour tout vérifier. En utilisant la connaissance du contexte, la surveillance des sessions et l’analyse du comportement, les organisations peuvent plus rapidement et plus efficacement anticiper, détecter et prendre des mesures correctives pour contrer les menaces émergentes auxquelles l’entreprise est confrontée.
Enfin, l’approche Zero Trust peut être difficile à mettre en œuvre dans une infrastructure déjà en place, car celle-ci doit être adaptée au réseau existant. Pour les systèmes, applications et réseaux en place, les responsables informatiques doivent déterminer comment un modèle Zero Trust pourrait être superposé à l’environnement existant.
L’un des freins principaux à la promesse du Zero Trust, c’est la nature fragmentée de l’approche adoptée par la plupart des organisations pour gérer les droits d’accès aujourd’hui. En moyenne, les grandes entreprises utilisent 25 systèmes différents pour gérer les droits d’accès (source : The 3rd Annual Global Password Security Report). Cette approche cloisonnée limite la visibilité et entraîne des lacunes, des incohérences et encore plus de risques. La complexité sous-jacente de cette approche oblige également les organisations à accorder des privilèges continus.
De nombreuses organisations tournées vers l’avenir cherchant à implémenter une approche Zero Trust regardent désormais le problème sous un autre angle. En abordant le problème de manière plus globale, et en adoptant une approche unifiée de la sécurité des identités, avec l’élimination des silos et la garantie que toutes les identités sont corrélées et visibles, les organisations peuvent ajouter, supprimer et ajuster les privilèges ponctuellement, ce qui constitue l’une des pierres angulaires du modèle Zero Trust, et ce de manière plus rapide et efficace.
Le second frein, lié au premier, est l’automatisation insuffisante des workflows intégrés entre les applications. Ce phénomène est assez courant étant donné le nombre d’organisations qui adopte une approche décousue pour mettre en place un modèle Zero Trust. Même quand les entreprises combinent des solutions de pointe pour gérer les divers composants de l’approche Zero Trust (par exemple les identités et les privilèges), des frictions apparaissent parce que les produits ne sont pas intégrés. Pour simplifier les activités et atteindre des résultats optimaux, les organisations devraient se concentrer en priorité sur une orchestration automatisée.
Nombre des motifs d’échec de l’implémentation d’un modèle Zero Trust ont déjà été cités ci-dessus : le dispositif mis en place n’est pas assez étendu pour couvrir toutes les identités, vous n’avez pas réussi à changer votre état d’esprit et à vous concentrer sur des vérifications continues, et vous avez tenté de mettre en place cette stratégie de manière trop fragmentée.
Qu’est-ce que l’approche Zero Trust et comment votre entreprise peut-elle implémenter un modèle pratique et flexible réduisant votre surface d’exposition aux menaces et offrant une efficacité et une sécurité opérationnelles à votre infrastructure moderne ? Même lors des premières phases de planification, il est important de reconnaître que le paysage des menaces, de même que le paysage informatique, n’est plus statique. Il est essentiel d’implémenter une stratégie de cybersécurité flexible et dynamique, qui ne se limite pas à un ensemble de processus spécifique et qui ne soit pas restreinte par votre infrastructure hybride. En adoptant un modèle adaptatif, vous pouvez rapidement vous adapter aux modifications des rôles/responsabilités des utilisateurs, aux modifications de l’infrastructure informatique et bien évidemment aux nouvelles menaces et aux menaces émergentes.