Aujourd'hui plus que jamais, la numérisation occupe une place importante dans les secteurs tels que la finance, la santé, la fabrication, les transports et d'autres encore. Et l'intégration d'une technologie, aussi pertinente soit-elle pour les besoins de l'activité, fait intervenir un écosystème constitué de professionnels, systèmes et processus informatiques de qualité. Les activités étant diversifiées, les besoins en informatiques se complexifient et appellent à des technologies différentes, de l'expertise et des solutions sur mesure. L'écosystème informatique doit non seulement contribuer à la réponse à ces besoins, mais il doit également se consacrer à la tâche la plus épineuse, à savoir la sécurité.
La culture du travail en hybride étant devenue prépondérante dans toutes les entreprises de la planète, le rôle de l'informatique est plus déterminant que jamais. Dans l'environnement commercial actuel, les employés qui travaillent de manière hybride, ainsi que les collaborateurs extérieurs, ont tous besoin d'accéder à des réseaux collaboratifs et à des données partagées. En conséquence, les organisations sont plus exposées aux cyberattaques, aux vols de données, aux rançongiciels et à d'autres menaces recourant à des techniques très avancées, qui mettent en péril les systèmes numériques et les fonctionnements informatiques.
Au-delà des systèmes, ces menaces envers la sécurité concernent également les employés et leur productivité. Un système informatique vulnérable peut exposer des données sensibles concernant les employés et les équipes qui travaillent en collaboration. Ce risque altère la confiance des employés dans l'organisation et augmente les difficultés de celle-ci. Cela affecte également l'expérience utilisateur, ainsi que l'entreprise dans la mesure ou les clients et les associés retirent la confiance qu'ils avaient dans leurs partenaires et fournisseurs.
L'architecture réseau traditionnelle était construite autour du concept de réseau périmétrique, un modèle qui accorde un niveau de confiance implicite à tous les utilisateurs une fois ces derniers inscrits sur le réseau. Le passage à l'hébergement cloud, au télétravail et aux autres formes de modernisation a engendré plusieurs difficultés autour de cette idée d'architecture réseau périmétrique traditionnelle. Ces défis peuvent être relevés par la mise en œuvre d'une architecture Zero Trust, capable de garantir que l'ensemble du trafic entrant et sortant de votre entreprise est bien vérifié et autorisé. La mise en œuvre d'une architecture Zero Trust peut s'effectuer sans perturber la productivité et la connectivité de vos collaborateurs.
Un cadre de sécurité Zero Trust permet aux équipes informatiques de faire face aux menaces actuelles en englobant les aspects essentiels des opérations informatiques telles que les applications, les processus réseau, les clés d'accès reposant sur l'identité et les appareils. Il limite l'accès aux écosystèmes informatiques en accordant moins de privilèges aux utilisateurs, en fonction de leurs rôles et responsabilités et en générant des alertes automatiques dès lors qu'est détectée une activité inhabituelle. Ces accès rigoureusement contrôlés ne sont accordés qu'à des réseaux, applications, utilisateurs et appareils du réseau vérifiés et autorisés.
La vérification de l'identité est le nouveau périmètre de sécurité et établit des contrôles reposant sur les données d'identification, le contexte et l'accès de appareil aux applications, données et infrastructure internes. Parallèlement à l'accélération de la transformation numérique et de l'adoption du cloud, les organisations évoluent également vers des environnements de travail hybrides. Ainsi, les contrôles de sécurité doivent être stricts pour garantir une défense contre le panel étendu des cyberattaques et des menaces pour la sécurité.
Le modèle Zero Trust permet aux organisations de conserver un fonctionnement sûr et productif même lorsque les personnes et les données sont réparties dans de multiples emplacements et configurations. Il n'existe pas de méthode universelle pour l'adoption de ce cadre, toutefois, la plupart des entreprises peuvent commencer par organiser le processus d'adoption autour de trois étapes majeures :
Prévoir : pour instaurer un cadre Zero Trust pour une entreprise, il importe de disposer d'abord d'une vue d'ensemble de ses aspects et interconnexions. Cela implique une analyse détaillée des risques associés aux ressources de l'organisation, aux méthodes d'accès et à l'usage qui en est fait. Par exemple, le service juridique peut être amené à accéder à une base de données dans laquelle sont stockées les données confidentielles des clients, mais lorsqu'il existe des failles au niveau de ces connexions, les menaces peuvent avoir des graves conséquences. Le processus d'évaluation et d'appréciation des ressources et le besoin d'y accéder continueront donc inévitablement d'évoluer parallèlement à la croissance de l'entreprise. De la même manière, les répercussions et les risques liés à ces éléments évolueront. Par conséquent, les entreprises qui souhaitent mettre en place un cadre Zero Trust doivent commencer par les aspects dont elles prévoient qu'ils seront les plus essentiels et les plus vulnérables, au fur et à mesure de la progression de l'adoption du cadre.
Atténuer : la première étape permet aux entreprises d'identifier toutes les vulnérabilités potentielles, les menaces éventuelles et les voies d'attaque. Dans cette phase, il est question d'établir un ordre de priorité dans les problèmes et de les surmonter un à la fois. L'entreprise aura ensuite besoin de développer des processus et des outils qui détectent automatiquement les vulnérabilités émergentes. Qui plus est, il pourrait exister des méthodes qui empêchent automatiquement les attaques ou qui en réduisent au minimum l'incidence (dans cet exemple, il s'agit de contrôler les données qui pourraient être divulguées).
Exécuter : à ce stade, l'entreprise va enrichir ses politiques et normes afin de couvrir tous les aspects de l'informatique. Il est primordial d'évaluer le cadre afin d'en vérifier l'efficacité et la simplicité d'utilisation à mesure de son développement. Lors de la mise en place de cadres de sécurité tels que l'architecture Zero Trust, les organisations doivent privilégier l'expérience utilisateur faute de quoi c'est la conformité et la productivité qui en pâtiraient.
L'infrastructure Zero Trust ajoute la vérification des données d'identification à chaque niveau, et protège ainsi les activités sensibles et les données des personnes. Tandis que des organisations de tous les secteurs s'embarquent dans la transformation numérique et transfèrent leurs opérations vers le cloud, elles peuvent mettre en place une architecture Zero Trust qui formera une infrastructure de réseau robuste et sécurisée. La difficulté, toutefois, réside dans le fait que dans de nombreuses organisations, la responsabilité incombe à des équipes différentes pour la mise en réseau et la sécurité, et celles-ci dépendent souvent de différents fournisseurs dans leurs domaines respectifs. La mise en place d'une architecture Zero Trust ne peut se faire qu'en supprimant les cloisons qui séparent les équipes de sécurité et de mise en réseau et en choisissant les bons outils, produits et fournisseurs afin qu'ils soient adaptés aux résultats attendus pour l'entreprise. Aujourd'hui plus que jamais, il est devenu encore plus judicieux pour les organisations de collaborer avec l'écosystème informatique afin que l'adoption du Zero Trust soit une réussite.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a été initialement rédigé par CXO Today
John Engates – @jengates Field CTO, Cloudflare
Cet article vous permettra de comprendre les points suivants :
Comment un cadre de sécurité Zero Trustdonne à l'informatique plus de moyens pour résoudre les difficultés que posent aujourd'hui les menaces
3 étapes pour démarrer le processus d'adoption du Zero Trust