Comment mettre en œuvre la sécurité Zero Trust

Le passage à une architecture Zero Trust ne doit pas être trop complexe. Les organisations peuvent commencer par mettre en œuvre la MFA, fermer les ports inutiles et adopter quelques autres mesures simples.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Identifier les étapes nécessaires à la mise en œuvre de la sécurité Zero Trust.
  • Comprendre les avantages du modèle Zero Trust

Copier le lien de l'article

Comment fonctionne la sécurité Zero Trust ?

Le Zero Trust correspond à une manière d'envisager la sécurité en partant du principe que les menaces sont déjà présentes au sein d'une organisation. Dans le modèle Zero Trust, aucun utilisateur, appareil ou application n'est automatiquement considéré comme « fiable ». Une vérification formelle de l'identité est donc imposée à chaque demande arrivant dans un réseau d'entreprise, même pour les utilisateurs et les appareils déjà connectés à ce réseau.

Une architecture de sécurité Zero Trust repose sur les principes suivants :

Pour en savoir plus sur ces principes et sur la manière dont ils se combinent et se renforcent mutuellement, voir Qu'est-ce qu'un réseau Zero Trust ?

Rapport
Rapport IDC MarketScape de 2023 consacré aux solutions ZTNA

Guide
Le guide Zero Trust de la sécurisation de l'accès aux applications

Comment mettre en œuvre la sécurité Zero Trust

La mise en œuvre d'une sécurité complète de type Zero Trust peut prendre un certain temps et implique une collaboration entre plusieurs équipes. Plus l'environnement numérique d'une organisation est complexe  ; c'est-à-dire plus la variété d'applications, d'utilisateurs, de bureaux, de cloud et de datacenters à protéger est grande, plus nombreux seront les efforts nécessaires pour appliquer le principe Zero Trust à chaque demande circulant entre ces points.

C'est pourquoi les mises en œuvre Zero Trust les plus abouties commencent par des étapes plus simples, exigeant moins d'efforts et d'implication. En suivant ces étapes, les organisations peuvent réduire de manière significative leur exposition à diverses menaces et susciter l'adhésion à des améliorations plus importantes et plus systémiques.

En voici cinq :

1. MFA

L'authentification multifactorielle (MFA) exige au moins deux facteurs d'authentification de la part des utilisateurs qui se connectent à une application, au lieu d'un seul (par exemple un nom d'utilisateur et un mot de passe). La MFA est nettement plus sûre que l'authentification à un seul facteur, car il est difficile, du point de vue des attaquants, de voler deux facteurs qui sont associés.

Le déploiement de la MFA est un bon moyen de commencer à renforcer la sécurité pour les services essentiels, en plus d'initier doucement les utilisateurs à une méthode de sécurité plus stricte.

2. Déploiement d'une politique Zero Trust pour les applications cruciales

Le modèle Zero Trust tient compte de l'activité et le niveau de sécurité de l'appareil en plus de l'identité. L'objectif final est d'instaurer des politiques Zero Trust devant toutes les applications, mais la première étape consiste à les appliquerdevantt les applications critiques.

Il existe plusieurs façons de mettre en place une politique Zero Trust entre l'appareil et l'application, notamment par le biais d'un tunnel crypté, d'un proxy ou d'un fournisseur d'authentification unique (SSO). Cet article contient plus de détails concernant la configuration.

3. Sécurité des e-mails dans le cloud et protection contre le phishing

Le courrier électronique est un vecteur d'attaque majeur. Les e-mails malveillants peuvent provenir de toutes les sources, aussi fiables soient-elles (via l'usurpation de compte ou l'usurpation d'adresse e-mail), c'est pourquoi l'application d'une solution de sécurité des e-mails est un grand pas en avant vers une architecture Zero Trust.

Aujourd'hui, les utilisateurs consultent leurs e-mails par le biais d'une application de courrier électronique traditionnelle auto-hébergée, d'une application web reposant sur un navigateur, d'une application pour appareil mobile, entre autres méthodes. C'est pourquoi la sécurité e-mails et la détection du phishing sont plus efficaces lorsqu'elles sont hébergées dans le cloud. Elles ont ainsi la possibilité de filtrer facilement les e-mails provenant de n'importe quelle source et destinés à n'importe quelle destination, sans produire d'effet trombone dans le trafic des e-mails.

4. Fermeture des ports inutiles

En matière de réseau, un port est un point virtuel où un ordinateur peut recevoir du trafic entrant. Les ports ouverts sont comme des portes déverrouillées que les attaquants peuvent utiliser pour pénétrer à l'intérieur d'un réseau. Il existe des milliers de ports, mais la plupart ne sont pas utilisés régulièrement. Les organisations peuvent fermer les ports inutiles afin de se protéger contre le trafic web malveillant.

5. filtrage DNS

Qu'il s'agisse de phishing de sites ou de téléchargement par des moyens détournés, les applications web non sécurisées sont une source majeure de menaces. Le filtrage DNS est une méthode permettant d'empêcher les sites web non fiables de se résoudre en une adresse IP. Cela signifie que toute personne se trouvant derrière le filtre n'a aucune possibilité de se connecter à de tels sites web.

S'inscrire
Sécurité et rapidité dans toutes les offres Cloudflare

Plus d'informations sur la mise en œuvre de Zero Trust

Ces cinq étapes permettront à une organisation de se doter d'un cadre de sécurité Zero Trust. Cloudflare propose un livre blanc qui détaille ces étapes. Télécharger : « Un guide de l'architecture Zero Trust. »