Travail hybride et acteurs de la menace modifient nos usages numériques, la sécurité dite « Zéro Trust » offre un moyen de minimiser les cyber-risques, tour d’horizon de ce concept.
Par Benoit Grunemwald, Expert en Cyber sécurité chez ESET France
Pour nombre d’organisations à travers le monde, la pandémie oblige à un recours de plus en plus développé au travail flexible, accentuant l’usage des technologies numériques. Cette flexibilité survivra-t-elle à la période postpandémie ? Plus de 60% des entreprises prévoient de soutenir durablement un lieu de travail hybride, où les employés passeront une partie de la semaine à la maison et quelques jours au bureau. Pourtant, cette évolution s’accompagne de nouveaux cyber-risques. Bonne nouvelle : le modèle Zéro Trust a été conçu pour pallier ces écueils. Il offre un moyen de plus en plus populaire de minimiser les cyber-risques dans un monde d’usage du Cloud, de télétravail et de menaces persistantes.
Pourquoi le Zéro Trust ?
Le Zéro Trust est fondé sur le mantra « ne jamais faire confiance, toujours vérifier ». En pratique, trois principes sous-jacents le structurent :
- Tous les réseaux doivent être considérés comme non fiables, et il convient également d’avoir cette même précaution vis-à-vis des utilisateurs. Cela signifie qu’il faut accorder aux employés juste assez de privilèges pour faire leur travail, puis auditer régulièrement leurs droits d’accès et supprimer ceux qui ne sont plus appropriés.
- Le moindre privilège : les réseaux domestiques, les réseaux Wi-Fi publics et même les réseaux d’entreprise sur site doivent être concernés. Les acteurs de la menace sont tout simplement trop déterminés pour que nous puissions supposer qu’il reste des espaces sûrs.
- Supposer une violation de données. En restant constamment en alerte, les organisations seront vigilantes et continueront à améliorer leurs défenses dans un esprit de Zéro Trust. Les failles sont inévitables – il s’agit simplement de réduire leur impact.
En quoi le Zéro Trust a-t-il évolué ?
Au fil des ans, le Zéro Trust s’est transformé en un écosystème complet. En son centre se trouvent les données critiques qui doivent être protégées. Il se concentre autour de quatre éléments clés :
- les personnes qui peuvent accéder à ces données,
- les appareils qui les stockent,
- les réseaux par lesquels elles transitent et
- les charges de travail qui les traitent.
Forrester y a maintenant ajouté d’autres couches cruciales : l’automatisation et l’orchestration, la visibilité et l’analyse. Ces éléments intègrent tous les contrôles de défense en profondeur nécessaires pour soutenir le Zéro Trust. Dans cette nouvelle itération, c’est un moyen idéal d’atténuer les risques d’un lieu de travail hybride – un environnement où les périmètres sont fluides, où les travailleurs doivent être continuellement authentifiés et où les réseaux sont segmentés pour réduire le potentiel de propagation des menaces.
Comment mettre en place le Zéro Trust ?
Les données les plus récentes indiquent que 72% des entreprises ont intégré le Zero Trust dans leur stratégie : 42% d’entre elles prévoient sa mise en place et 30% l’ont déjà fait. La bonne nouvelle, c’est qu’il n’est pas nécessaire de procéder à un remaniement en profondeur pour y parvenir. En fait, vous utilisez peut-être déjà un grand nombre des outils et techniques nécessaires pour commencer, tels que les contrôles d’accès basés sur les rôles, l’authentification multifacteurs ou encore la séparation des comptes.
Les organisations devraient aussi utiliser les contrôles de leurs fournisseurs Cloud pour réduire l’accès aux différentes charges de travail et appliquer de bonnes politiques. La gestion des actifs vous aidera à comprendre ce que vous possédez comme appareils. Utilisez ensuite la détection et la réponse aux points de terminaison (EDR), les pare-feux basés sur l’hôte et autres pour protéger ces actifs et empêcher les mouvements latéraux. La microsegmentation des réseaux est également essentielle. Utilisez des dispositifs de réseau tels que des routeurs et des commutateurs en combinaison avec des listes de contrôle d’accès (ACL) pour limiter qui et quoi peut parler aux différentes parties du réseau. La gestion des vulnérabilités est également importante.
Ensuite, classifiez vos données, puis appliquez le chiffrement aux types les plus sensibles au repos et en transit. Le contrôle de l’intégrité des fichiers et la prévention des pertes de données peuvent également contribuer à sécuriser celles-ci. Enfin, il s’agit d’ajouter l’orchestration et l’automatisation de la sécurité, ainsi que des capacités d’analyse des données. Cela apporte la connaissance de la situation dont les équipes chargées des opérations de sécurité ont besoin pour faire leur travail efficacement.
En mettant en place le modèle Zero Trust, vous pourrez limiter les cyber-risques encourus par votre organisation via la flexibilité du lieu hybride entre télétravail et présence sur site, pour la sécurité de vos employés et de votre entreprise. Un virage à prendre, qui est tout aussi technique que culturel pour les organisations.