Comment mettre en œuvre la sécurité Zero Trust

Le passage à une architecture Zero Trust ne doit pas être trop complexe. Les organisations peuvent commencer par mettre en œuvre la MFA, fermer les ports inutiles et adopter quelques autres mesures simples.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Identifier les étapes nécessaires à la mise en œuvre de la sécurité Zero Trust.
  • Comprendre les avantages du modèle Zero Trust

Copier le lien de l'article

Comment fonctionne la sécurité Zero Trust ?

Le Zero Trust correspond à une manière d'envisager la sécurité en partant du principe que les menaces sont déjà présentes au sein d'une organisation. Dans le modèle Zero Trust, aucun utilisateur, appareil ou application n'est automatiquement considéré comme « fiable ». Une vérification formelle de l'identité est donc imposée à chaque demande arrivant dans un réseau d'entreprise, même pour les utilisateurs et les appareils déjà connectés à ce réseau.

Une architecture de sécurité Zero Trust repose sur les principes suivants :

Pour en savoir plus sur ces principes et sur la manière dont ils se combinent et se renforcent mutuellement, voir Qu'est-ce qu'un réseau Zero Trust ?

Comment mettre en œuvre la sécurité Zero Trust

La mise en œuvre d'une sécurité complète de type Zero Trust peut prendre un certain temps et implique une collaboration entre plusieurs équipes. Plus l'environnement numérique d'une organisation est complexe  ; c'est-à-dire plus la variété d'applications, d'utilisateurs, de bureaux, de cloud et de datacenters à protéger est grande, plus nombreux seront les efforts nécessaires pour appliquer le principe Zero Trust à chaque demande circulant entre ces points.

For this reason, the most successful Zero Trust implemenations begin with simpler steps that require less effort and buy-in. By taking these steps, organizations can significantly reduce their exposure to a variety of threats and build buy-in for larger, more systemic improvements.

En voici cinq :

1. MFA

L'authentification multifactorielle (MFA) exige au moins deux facteurs d'authentification de la part des utilisateurs qui se connectent à une application, au lieu d'un seul (par exemple un nom d'utilisateur et un mot de passe). La MFA est nettement plus sûre que l'authentification à un seul facteur, car il est difficile, du point de vue des attaquants, de voler deux facteurs qui sont associés.

Le déploiement de la MFA est un bon moyen de commencer à renforcer la sécurité pour les services essentiels, en plus d'initier doucement les utilisateurs à une méthode de sécurité plus stricte.

2. Déploiement d'une politique Zero Trust pour les applications cruciales

Le modèle Zero Trust tient compte de l'activité et le niveau de sécurité de l'appareil en plus de l'identité. L'objectif final est d'instaurer des politiques Zero Trust devant toutes les applications, mais la première étape consiste à les appliquerdevantt les applications critiques.

Il existe plusieurs façons de mettre en place une politique Zero Trust entre l'appareil et l'application, notamment par le biais d'un tunnel crypté, d'un proxy ou d'un fournisseur d'authentification unique (SSO). Cet article contient plus de détails concernant la configuration.

3. Sécurité des e-mails dans le cloud et protection contre le phishing

Le courrier électronique est un vecteur d'attaque majeur. Les e-mails malveillants peuvent provenir même de sources fiables (via l'usurpation de compte ou l'usurpation d'adresse e-mail), c'est pourquoi l'application d'une solution de sécurité des e-mails est un grand pas en avant vers une architecture Zero Trust.

Aujourd'hui, les utilisateurs consultent leurs e-mails par le biais d'une application de courrier électronique traditionnelle auto-hébergée, d'une application web reposant sur un navigateur, d'une application pour appareil mobile, entre autres méthodes. C'est pourquoi la sécurité e-mails et la détection du phishing sont plus efficaces lorsqu'elles sont hébergées dans le cloud. Elles ont ainsi la possibilité de filtrer facilement les e-mails provenant de n'importe quelle source et destinés à n'importe quelle destination, sans produire d'effet trombone dans le trafic des e-mails.

4. Fermeture des ports inutiles

En matière de réseau, un port est un point virtuel où un ordinateur peut recevoir du trafic entrant. Les ports ouverts sont comme des portes déverrouillées que les attaquants peuvent utiliser pour pénétrer à l'intérieur d'un réseau. Il existe des milliers de ports, mais la plupart ne sont pas utilisés régulièrement. Les organisations peuvent fermer les ports inutiles afin de se protéger contre le trafic web malveillant.

5. filtrage DNS

Qu'il s'agisse de phishing de sites ou de téléchargement par des moyens détournés, les applications web non sécurisées sont une source majeure de menaces. Le filtrage DNS est une méthode permettant d'empêcher les sites web non fiables de se résoudre en une adresse IP. Cela signifie que toute personne se trouvant derrière le filtre n'a aucune possibilité de se connecter à de tels sites web.

More on Zero Trust implementation

Ces cinq étapes permettront à une organisation de se doter d'un cadre de sécurité Zero Trust. Cloudflare propose un livre blanc qui détaille ces étapes. Télécharger : « Un guide de l'architecture Zero Trust. »