Guide du Zero Trust

5 projets simples pour progresser vers un avenir Zero Trust

L'adoption du Zero Trust est un processus complexe, mais les premiers pas sur ce parcours n'ont pas à l'être

Le parcours menant à l'adoption d'une sécurité Zero Trust est largement reconnu comme un processus difficile. De bien des façons, cette réputation s'avère d'ailleurs amplement justifiée. La méthode Zero Trust implique des efforts à l'égard desquels les équipes informatiques et de sécurité font preuve d'une prudence bien légitime : repenser les politiques autorisant l'accès par défaut et l'architecture réseau fondée sur le principe de périmètre, assurer la collaboration entre des équipes fonctionnellement différentes et accorder sa confiance à de nouveaux services de sécurité. Les entreprises peuvent ainsi remettre cette transformation à plus tard pour toutes sortes de raisons, notamment les suivantes :

  • Contraintes de capacité par rapport aux projets concurrents.

  • Variation de l'offre des fournisseurs de solutions Zero Trust.

  • Incertitude concernant l'emplacement dans lequel les diverses applications et ressources résident sur le réseau.

  • Potentielles perturbations de la productivité des collaborateurs.

Le cadre Zero Trust est globalement complexe (la feuille de route complète de l'architecture Zero Trust compte 28 étapes), mais il comporte des éléments qui ne nécessitent que des efforts comparativement minimes, même pour les petites équipes ne disposant que de peu de temps.

Adoption du Zero Trust par fragments

Dans un contexte de mise en réseau, la sécurité Zero Trust exige que chaque requête entrant, sortant ou circulant à l'intérieur d'un réseau d'entreprise fasse l'objet de mesures d'inspection, d'authentification, de chiffrement et de journalisation. Cette méthodologie s'appuie sur l'idée qu'aucune requête ne doit bénéficier d'une confiance implicite, quelle que soit sa provenance ou sa destination.

La progression rapide vers le Zero Trust implique la mise en place de ces fonctionnalités aux endroits où elles ne sont pas encore présentes à l'heure actuelle. Pour les entreprises qui commencent le parcours depuis le départ, le processus nécessite souvent d'étendre ces capacités au-delà du simple « périmètre réseau ».

Vous trouverez ci-dessous cinq des projets les plus simples à mettre en œuvre pour adopter le Zero Trust. Ces projets se concentrent plus particulièrement sur la sécurisation des utilisateurs, des applications, des réseaux et du trafic Internet. Ils ne vous permettront pas d'atteindre le Zero Trust par eux-mêmes, mais vous offriront néanmoins des avantages immédiats, tout en créant une dynamique précoce ouvrant la voie à une transformation plus large.

Projet nᵒ 1 : appliquer l'authentification multifacteurs aux applications essentielles

Dans un environnement Zero Trust, le réseau doit être intimement persuadé que les requêtes proviennent bien de l'entité dont elles prétendent provenir. Cela implique de définir des mesures de protection contre le vol des identifiants des utilisateurs lors d'attaques par hameçonnage ou de fuites de données. L'authentification multifacteurs (MFA, Multi-Factor Authentication) constitue la meilleure protection contre les vols d'identifiants. Le déploiement complet d'une solution MFA pouvant demander un temps considérable, le fait de se concentrer sur les applications les plus essentielles permet de progresser avec plus de simplicité, tout en garantissant des effets positifs.

Les entreprises ayant déjà mis en place un fournisseur d'identité peuvent configurer directement leur MFA au sein de ce dernier (par le biais de codes à usage unique ou de notifications push envoyées via une application dédiée sur les appareils mobiles des collaborateurs, par exemple). Pour les applications qui ne s'intègrent pas directement à votre IdP, vous pouvez envisager de déployer un proxy inverse pour applications en amont de l'application devant mettre en œuvre la MFA.

Les entreprises n'ayant pas mis de fournisseur d'identité en place peuvent adopter une méthode différente de la MFA. Les plateformes de réseaux sociaux, comme Google, LinkedIn et Facebook, ou encore l'utilisation de mots de passe à usage unique constituent un autre moyen de vérifier l'identité des utilisateurs. Il s'agit là d'un moyen courant de conditionner l'accès des sous-traitants et des tiers, sans les ajouter au fournisseur d'identité de l'entreprise. Ces mesures peuvent également être appliquées au sein de l'entreprise elle-même.

Projet nᵒ 2 : application de politiques Zero Trust aux applications essentielles

La mise en application du Zero Trust implique plus que la simple vérification de l'identité des utilisateurs. Les applications doivent également être protégées à l'aide de politiques qui vérifient toujours les requêtes, examinent un vaste ensemble de facteurs comportementaux et contextuels avant d'authentifier un utilisateur, et surveillent l'activité en permanence. Comme pour le projet nᵒ 1, la mise en œuvre de ces politiques s'avère plus facile lorsque celles-ci sont appliquées à une liste initiale d'applications essentielles.

Le processus varie en fonction du type d'application concerné :

  1. Applications privées auto-hébergées (uniquement adressables sur le réseau de l'entreprise)

  2. Applications publiques auto-hébergées (adressables sur l'ensemble d'Internet)

  3. Applications SaaS

Projet nᵒ 3 : surveiller les applications de courrier électronique et filtrer les tentatives d'hameçonnage

Les e-mails ne sont pas toujours évoqués lors des discussions autour du Zero Trust. Il s'agit pourtant du principal moyen de communication des entreprises, de l'application SaaS la plus utilisée et du point d'entrée le plus courant pour les acteurs malveillants. L'application de principes Zero Trust les concernant est pleinement justifiée et complète les mesures de filtrage et d'inspection habituellement utilisées contre les menaces.

Pour y parvenir, il est essentiel de déployer une solution de sécurité des e-mails dans le cloud. La sécurité doit également envisager la possibilité de mettre en quarantaine (au sein d'un navigateur isolé) les liens qui ne se révèlent pas suffisamment suspects pour être complètement bloqués.

Projet nᵒ 4 : fermer tous les ports entrants ouverts sur Internet à des fins de distribution des applications

Les ports entrants ouverts sur le réseau sont un vecteur d'attaque courant et doivent bénéficier d'une protection Zero Trust.

Les technologies d'analyse permettent de les identifier, à la suite de quoi un proxy inverse Zero Trust est en mesure d'exposer une application web à l'Internet public de manière sécurisée, sans ouvrir de port entrant. Le seul enregistrement publiquement visible de l'application sera son enregistrement DNS, qui peut être protégé à l'aide d'une authentification Zero Trust et de fonctionnalités de journalisation.

Associé à une solution d'accès Zero Trust, un DNS interne/privé peut être mis à contribution, formant ainsi une couche supplémentaire de sécurité.

Projet nᵒ 5 : bloquer les requêtes DNS vers les menaces ou les destinations à risque connues

Le filtrage DNS correspond à la pratique visant à empêcher les utilisateurs d'accéder aux sites web (et aux autres ressources Internet) connus pour être malveillants ou fortement soupçonnés de l'être. Ce dernier n'est pas toujours mentionné dans les discussions autour du Zero Trust, car il n'implique ni l'inspection ni la journalisation du trafic. Il peut toutefois circonscrire les emplacements de transfert et de téléchargement de données pour les utilisateurs (ou les groupes d'utilisateurs), soit une mesure qui s'inscrit parfaitement dans la philosophie Zero Trust au sens plus large.

Vous pouvez appliquer le filtrage DNS via la configuration du routeur ou directement sur la machine d'un utilisateur.

Comprendre le Zero Trust dans son ensemble

La mise en œuvre de ces projets peut constituer un moyen relativement simple de s'essayer au Zero Trust. Par ailleurs, toute entreprise qui les mettra en place progressera de manière significative vers une sécurité plus efficace et plus moderne.

L'adoption plus large du Zero Trust demeure toutefois un sujet compliqué. Pour vous aider, nous avons élaboré une feuille de route sans parti pris du point de vue des fournisseurs pour l'ensemble du parcours Zero Trust, couvrant ces cinq projets et des initiatives similaires. La mise en œuvre de certains d'entre eux demandera bien plus de quelques jours, mais la feuille de route peut apporter davantage de clarté sur ce que signifie l'adoption du Zero Trust.

Cloudflare propose l'ensemble de ces services dans le cadre de sa solution Cloudflare Zero Trust. Celle-ci peut vérifier, filtrer, isoler et inspecter l'ensemble du trafic réseau, le tout au sein d'une plateforme uniforme et composable, facilitant la configuration et les opérations. En outre, son infrastructure virtuelle sécurisée (reposant sur l'utilisation d'un réseau mondial présent dans plus de 275 villes et comportant plus de 11,000 interconnexions) assure des avantages considérables en matière de sécurité, de performances et de fiabilité par rapport à l'Internet public.

Cet article fait partie de notre série consacrée aux dernières tendances et évolutions susceptibles d'influencer les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

  • La feuille de route vers le Zero Trust compte 28 étapes exhaustives.

  • Les cinq projets d'adoption du Zero Trust qui ne nécessitent que des efforts comparativement minimes.

  • Les types de services qui permettent cette mise en œuvre.

  • La procédure à suivre pour commencer à établir une feuille de route d'adoption pour votre entreprise.

RESSOURCES ASSOCIÉES


Approfondir le sujet

Découvrez davantage d'informations sur le Zero Trust et commencez à dresser une feuille de route pour votre entreprise grâce à notre ouvrage complet : le « Guide de l'architecture Zero Trust. ».

Get the guide!

Bénéficiez d'un récapitulatif mensuel des tendances Internet les plus populaires !