Le passage à une architecture Zero Trust ne doit pas être trop complexe. Les organisations peuvent commencer par mettre en œuvre la MFA, fermer les ports inutiles et adopter quelques autres mesures simples.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité Zero Trust
Qu'est-ce que le ZTNA ?
Principe du moindre privilège
Microsegmentation
Authentification multifacteur
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le Zero Trust correspond à une manière d'envisager la sécurité en partant du principe que les menaces sont déjà présentes au sein d'une organisation. Dans le modèle Zero Trust, aucun utilisateur, appareil ou application n'est automatiquement considéré comme « fiable ». Une vérification formelle de l'identité est donc imposée à chaque demande arrivant dans un réseau d'entreprise, même pour les utilisateurs et les appareils déjà connectés à ce réseau.
Une architecture de sécurité Zero Trust repose sur les principes suivants :
Pour en savoir plus sur ces principes et sur la manière dont ils se combinent et se renforcent mutuellement, voir Qu'est-ce qu'un réseau Zero Trust ?
La mise en œuvre d'une sécurité complète de type Zero Trust peut prendre un certain temps et implique une collaboration entre plusieurs équipes. Plus l'environnement numérique d'une organisation est complexe ; c'est-à-dire plus la variété d'applications, d'utilisateurs, de bureaux, de cloud et de datacenters à protéger est grande, plus nombreux seront les efforts nécessaires pour appliquer le principe Zero Trust à chaque demande circulant entre ces points.
C'est pourquoi les mises en œuvre Zero Trust les plus abouties commencent par des étapes plus simples, exigeant moins d'efforts et d'implication. En suivant ces étapes, les organisations peuvent réduire de manière significative leur exposition à diverses menaces et susciter l'adhésion à des améliorations plus importantes et plus systémiques.
En voici cinq :
L'authentification multifactorielle (MFA) exige au moins deux facteurs d'authentification de la part des utilisateurs qui se connectent à une application, au lieu d'un seul (par exemple un nom d'utilisateur et un mot de passe). La MFA est nettement plus sûre que l'authentification à un seul facteur, car il est difficile, du point de vue des attaquants, de voler deux facteurs qui sont associés.
Le déploiement de la MFA est un bon moyen de commencer à renforcer la sécurité pour les services essentiels, en plus d'initier doucement les utilisateurs à une méthode de sécurité plus stricte.
Le modèle Zero Trust tient compte de l'activité et le niveau de sécurité de l'appareil en plus de l'identité. L'objectif final est d'instaurer des politiques Zero Trust devant toutes les applications, mais la première étape consiste à les appliquerdevantt les applications critiques.
Il existe plusieurs façons de mettre en place une politique Zero Trust entre l'appareil et l'application, notamment par le biais d'un tunnel crypté, d'un proxy ou d'un fournisseur d'authentification unique (SSO). Cet article contient plus de détails concernant la configuration.
Le courrier électronique est un vecteur d'attaque majeur. Les e-mails malveillants peuvent provenir de toutes les sources, aussi fiables soient-elles (via l'usurpation de compte ou l'usurpation d'adresse e-mail), c'est pourquoi l'application d'une solution de sécurité des e-mails est un grand pas en avant vers une architecture Zero Trust.
Aujourd'hui, les utilisateurs consultent leurs e-mails par le biais d'une application de courrier électronique traditionnelle auto-hébergée, d'une application web reposant sur un navigateur, d'une application pour appareil mobile, entre autres méthodes. C'est pourquoi la sécurité e-mails et la détection du phishing sont plus efficaces lorsqu'elles sont hébergées dans le cloud. Elles ont ainsi la possibilité de filtrer facilement les e-mails provenant de n'importe quelle source et destinés à n'importe quelle destination, sans produire d'effet trombone dans le trafic des e-mails.
En matière de réseau, un port est un point virtuel où un ordinateur peut recevoir du trafic entrant. Les ports ouverts sont comme des portes déverrouillées que les attaquants peuvent utiliser pour pénétrer à l'intérieur d'un réseau. Il existe des milliers de ports, mais la plupart ne sont pas utilisés régulièrement. Les organisations peuvent fermer les ports inutiles afin de se protéger contre le trafic web malveillant.
Qu'il s'agisse de phishing de sites ou de téléchargement par des moyens détournés, les applications web non sécurisées sont une source majeure de menaces. Le filtrage DNS est une méthode permettant d'empêcher les sites web non fiables de se résoudre en une adresse IP. Cela signifie que toute personne se trouvant derrière le filtre n'a aucune possibilité de se connecter à de tels sites web.
Ces cinq étapes permettront à une organisation de se doter d'un cadre de sécurité Zero Trust. Cloudflare propose un livre blanc qui détaille ces étapes. Télécharger : « Un guide de l'architecture Zero Trust. »
La sécurité Zero Trust est un modèle de sécurité qui part du principe qu'aucun utilisateur ou appareil ne doit bénéficier d'une confiance automatique, que ce soit à l'intérieur ou à l'extérieur du périmètre du réseau. Contrairement aux méthodes traditionnelles axées sur la défense périmétrique, l'architecture Zero Trust procède à une vérification pour tous les utilisateurs et tous les équipements qui tentent d'accéder aux ressources, quel que soit leur emplacement.
Les composants essentiels de cette plateforme comprennent des systèmes de vérification de l'identité, des outils de validation de l'intégrité des appareils et des fonctionnalités de surveillance en continu. Avant d'accorder l'accès aux ressources, ces composants travaillent de concert pour évaluer chaque requête d'accès par rapport à des politiques de sécurité déterminées.
La microsegmentation divise le réseau en segments isolés comportant des contrôles d'accès distincts ; en cas de violation, les mouvements latéraux sont donc limités. Les utilisateurs et les appareils ne peuvent ainsi accéder qu'aux ressources spécifiques dont ils ont besoin pour leur rôle, conformément au principe du moindre privilège.
Une évaluation Zero Trust est une évaluation de la stratégie de sécurité d'une entreprise sur l'ensemble de ses points de terminaison. Les informations issues d'une évaluation ponctuelle permettent aux entreprises d'identifier les lacunes et les risques qui doivent être corrigés par l'adoption des principes Zero Trust. Les évaluations peuvent également être effectuées de manière continue, en temps réel pour que les entreprises appliquent de manière plus adaptée les politiques d'accès conditionnel et de passerelle en fonction de l'intégrité des appareils et des tests de conformité.