Le modèle de sécurité Zero Trust n’est pas nouveau. Cela existe depuis que John Kindervag de Forrester Research a écrit son article « No More Chewy Centers: Introducing the Zero Trust Model of Information Security » en 2010.
L’approche Zero Trust est centrée sur la conviction qu’aucun utilisateur ou application ne doit être intrinsèquement fiable, même ceux qui se trouvent déjà à l’intérieur du périmètre du réseau.
Cette idée est déjà adoptée par de grandes entreprises et organisations comme Google, Coca-Cola et la NSA pour lutter contre la menace croissante des cyberattaques. Cependant, il existe encore des obstacles qui entravent son adoption généralisée.
Mythes sur la sécurité Zero Trust
Alors que l’intérêt des organisations pour l’approche du modèle Zero-Trust augmente, certaines idées fausses sur les principes de base du cadre ont empêché son adoption. Voici quelques mythes auxquels vous ne devriez pas croire.
Premier mythe : la confiance zéro crée une culture de méfiance
Une idée fausse courante à propos de Zero Trust est qu’elle promeut l’idée de ne pas faire confiance à vos employés. Bien que le cadre Zero Trust oblige les entreprises à examiner les utilisateurs accédant à leurs ressources réseau, il ne doit pas être interprété à tort comme quelque chose de personnel.
Le fait est que la confiance représente une vulnérabilité qui peut exposer votre organisation à un risque d’attaque. Les cybercriminels exploitent spécifiquement la confiance pour cibler les entreprises, et Zero Trust offre un moyen d’atténuer cela. C’est l’équivalent d’une entrée par carte-clé au lieu de permettre à tout le monde d’entrer dans un bâtiment.
En utilisant le principe du moindre privilège (POLP), les organisations peuvent personnaliser leurs politiques de seuil afin que les utilisateurs n’aient accès qu’aux ressources dont ils ont besoin en fonction de la confiance qu’ils ont gagnée.
Mythe 2 : Zero Trust est un produit
Zero Trust est une stratégie ou un cadre, pas un produit. Il est construit autour de l’idée de ne jamais faire confiance et de toujours vérifier.
Les différents produits proposés par les fournisseurs peuvent aider à atteindre Zero Trust ; cependant, ce ne sont pas des produits Zero Trust. Ce sont simplement des produits qui fonctionnent bien dans l’environnement Zero Trust. Ainsi, si un fournisseur vous demande d’acheter son produit Zero Trust, cela indique qu’il ne comprend pas le concept sous-jacent.
Lorsqu’ils sont correctement intégrés à l’architecture Zero Trust, divers produits peuvent réduire efficacement la surface d’attaque et contenir le rayon de l’explosion en cas de brèche. Une fois entièrement mise en œuvre, une solution Zero Trust avec vérification continue peut éliminer complètement la surface d’attaque.
Troisième mythe : il n’y a qu’une seule façon de mettre en œuvre la confiance zéro
Zero Trust est un ensemble de principes de sécurité qui implique une vérification constante, le principe d’accès au moindre privilège et l’atténuation de la surface d’attaque.
Au fil des années, deux approches ont émergé pour démarrer avec un modèle Zero Trust. La première approche commence par l’identité et implique une authentification multifacteur, qui donne des résultats rapides.
La deuxième approche est centrée sur le réseau et commence par la segmentation du réseau. Le concept implique la création de segments de réseau pour contrôler le trafic à l’intérieur et entre ces segments. Les administrateurs réseau peuvent alors maintenir une autorisation distincte pour chaque segment, limitant ainsi la propagation des menaces latérales dans un système.
Mythe 4 : Zero Trust ne sert que les grandes entreprises
Google a été l’une des premières entreprises à déployer l’architecture Zero Trust en réponse à l’opération Aurora en 2009. Il s’agissait d’une série d’attaques visant de grandes entreprises comme Google, Yahoo, Morgan Stanley et Adobe Systems.
Lorsque Google a adopté le modèle Zero Trust immédiatement après les attaques, de nombreuses entreprises pensaient (et pensent toujours) qu’il ne s’applique qu’aux grandes organisations. Cette notion ne serait vraie que si les cyberattaques étaient confinées aux grandes entreprises, ce qui n’est pas le cas. En réalité, environ 46 % des violations de données en 2021 visaient les petites entreprises.
Alors que les médias ont tendance à couvrir les violations de données affectant les grandes entreprises, il ne fait aucun doute que les petites entreprises ont également besoin d’une protection contre les cyberattaques.
La bonne nouvelle est que les petites organisations n’ont pas à se ruiner pour mettre en œuvre le modèle Zero Trust. Comme il ne s’agit pas d’un produit, les entreprises peuvent l’introduire progressivement en allouant un modeste investissement annuel à l’architecture Zero Trust.
Cinquième mythe : Zero Trust entrave l’expérience utilisateur
L’un des obstacles à l’adoption de Zero Trust est l’impact perçu sur l’expérience utilisateur. Il est compréhensible de supposer que la productivité et l’agilité des utilisateurs souffriraient lors de la vérification continue de l’identité des utilisateurs. Cependant, lorsqu’il est correctement mis en œuvre, Zero Trust peut offrir une expérience conviviale.
Les organisations peuvent évaluer les profils des utilisateurs et combiner l’authentification basée sur les risques avec l’apprentissage automatique pour identifier les risques et prendre des décisions d’accès rapides. Si le risque est élevé, le système peut nécessiter une étape d’authentification supplémentaire ou bloquer entièrement l’accès pour protéger ses ressources. Au contraire, cela peut éliminer les problèmes d’authentification si le risque est faible.
Une approche Zero Trust réduit également la complexité du côté administratif des choses. Les sous-traitants et les employés ne seront plus responsables de la sécurité s’ils cessent de faire affaire avec vous. Dans le cadre d’un modèle Zero Trust efficace, le système mettra immédiatement fin à leur accès aux actifs clés, éliminant ainsi les portes dérobées.
Sixième mythe : Zero Trust est limité à l’environnement sur site
De nombreuses entreprises considèrent encore Zero Trust comme un modèle qui ne peut être géré que sur site. Cela devient un problème majeur puisque les données sensibles résident désormais dans des environnements hybrides et cloud. Avec l’augmentation des cyberattaques et des piratages affectant l’architecture sur site, de plus en plus d’entreprises migrent vers le cloud.
La bonne nouvelle est que Zero Trust évolue rapidement avec elle.
En établissant une architecture Zero Trust dans le cloud, les entreprises peuvent protéger les données sensibles et réduire l’exposition des actifs vulnérables de leur réseau.
De plus, à mesure que la culture du travail à distance s’intensifie et que les cybercriminels développent de nouvelles façons d’exploiter les vulnérabilités, les entreprises qui s’appuient sur l’infrastructure sur site risquent d’être perturbées.
Ne jamais faire confiance; Toujours vérifier
Sur la base du nombre de violations de données ciblant les organisations, il est évident que l’approche traditionnelle de la sécurité ne suffit pas. Alors que beaucoup pensent que Zero Trust coûte cher et prend du temps, c’est un antidote fantastique aux problèmes de sécurité actuels.
Le modèle Zero Trust cherche à supprimer les systèmes basés sur la confiance simplement parce qu’ils sont trop souvent exploités dans les cyberattaques. Il fonctionne sur le principe que tout le monde doit être vérifié avant d’accéder aux ressources du réseau. Il s’agit d’une poursuite louable pour les entreprises qui cherchent à réduire les risques et à améliorer leur posture de sécurité.
Lire la suite
A propos de l’auteur