sécurité d'entreprise

Ne jamais faire confiance, toujours vérifier : le modèle de sécurité Zero Trust

Qu’est-ce que Zero Trust est pourquoi est-il attrayant pour les entreprises modernes ?

Sergey Golubev
24 Juil 2020

Le modèle Zero Trust a gagné en popularité auprès des organisations ces dernières années. Selon les données de 2019, 78 % des équipes de sécurité de l’information avaient mis en œuvre ce modèle ou prévoyaient au moins de le faire. Nous décortiquons le concept de Zero Trust pour voir ce qui le rend attrayant pour les entreprises.

Finis, les périmètres

La sécurité de périmètre, un terme courant dans la protection des infrastructures d’entreprise, englobe l’utilisation de contrôles approfondis pour toute tentative de connexion aux ressources de l’entreprise depuis l’extérieur de cette infrastructure. En substance, elle établit une frontière entre le réseau d’entreprise et le reste du monde. L’intérieur du périmètre (au sein du réseau d’entreprise), devient cependant une zone de confiance dans laquelle les utilisateurs, les appareils et les applications jouissent d’une certaine liberté.

La sécurité de périmètre fonctionne tant que la zone de confiance est limitée au réseau d’accès local et aux appareils fixes qui y sont connectés. Mais le concept de « périmètre » s’est estompé à mesure que le nombre de gadgets mobiles et de services sur le cloud utilisés par les employés a augmenté. De nos jours, au moins une partie des ressources de l’entreprise se trouve en dehors du bureau ou même à l’étranger. Essayer de les cacher derrière des murs, même très hauts, n’est pas pratique. Il est devenu beaucoup plus facile de pénétrer dans la zone de confiance et de s’y déplacer sans entrave.

En 2010, John Kindervag, analyste principal de Forrester Research, a proposé le concept de Zero Trust comme alternative au périmètre de sécurité. Il a proposé d’abandonner la distinction intérieur/extérieur et de se concentrer plutôt sur les ressources. Zero Trust est, par essence, une absence de zones de confiance de quelque sorte que ce soit. Dans ce modèle, les utilisateurs, les dispositifs et les applications sont soumis à des contrôles chaque fois qu’ils demandent l’accès à une ressource de l’entreprise.

Zero Trust dans la pratique

Il n’existe pas d’approche unique pour déployer un système de sécurité basé sur Zero Trust. Malgré cela, on peut identifier plusieurs principes fondamentaux qui peuvent aider à mettre en place un tel système.

La surface de protection au lieu de la surface d’attaque

Le concept Zeo Trust suppose généralement une « surface de protection », qui comprend tout ce que l’organisation doit protéger contre les accès non autorisés : données confidentielles, éléments d’infrastructure, etc. La surface de protection est significativement plus petite que la surface d’attaque qui comprend tous les éléments, processus et acteurs de l’infrastructure potentiellement vulnérables. Il est donc plus facile de s’assurer que la surface de protection soit sûre que de réduire la surface d’attaque à zéro.

Micro-segmentation

Contrairement à l’approche classique, qui prévoit une protection du périmètre externe, le modèle Zero Trust décompose l’infrastructure et les autres ressources de l’entreprise en petits nœuds, qui peuvent se limiter à un seul appareil ou à une seule application. Cela donne de nombreux périmètres microscopiques, chacun ayant ses propres politiques de sécurité et autorisations d’accès, ce qui permet une certaine souplesse dans la gestion des accès et permet aux entreprises de bloquer la propagation incontrôlable d’une menace au sein du réseau.

Le principe du moindre privilège

Chaque utilisateur ne se voit accorder que les privilèges nécessaires à l’accomplissement de ses propres tâches. Ainsi, le piratage d’un compte utilisateur individuel ne compromet qu’une partie de l’infrastructure.

Authentification

La doctrine Zero Trust stipule que toute tentative d’accès à des informations sur une entreprise doit être considérée comme une menace potentielle jusqu’à preuve du contraire. Ainsi, pour chaque session, chaque utilisateur, dispositif et application doit passer la procédure d’authentification et prouver qu’il a le droit d’accéder aux données en question.

Contrôle total

Pour qu’une mise en œuvre de Zero Trust soit efficace, l’équipe informatique doit être en mesure de contrôler chaque dispositif de travail et chaque application. Il est également essentiel d’enregistrer et d’analyser les informations relatives à chaque événement sur les terminaux et autres composants de l’infrastructure.

Les avantages de Zero Trust

En plus d’éliminer la nécessité de protéger le périmètre, qui devient de plus en plus flou à mesure que l’entreprise devient plus mobile, Zero Trust résout d’autres problèmes.

En particulier, chaque acteur du processus étant contrôlé et revérifié en permanence, les entreprises peuvent plus facilement s’adapter au changement, par exemple en supprimant les privilèges d’accès des employés qui quittent l’entreprise ou en ajustant les privilèges de ceux dont les responsabilités ont changé.

Les difficultés de la mise en œuvre de Zero Trust

La transition vers Zero Trust peut s’avérer longue et difficile pour certaines organisations. Si vos employés utilisent à la fois du matériel de bureau et des appareils personnels pour travailler, tous les équipements doivent être inventoriés ; des politiques d’entreprise doivent être mises en place sur les appareils nécessaires au travail et d’autres doivent être bloqués pour empêcher l’accès aux ressources de l’entreprise. Pour les grandes entreprises ayant des succursales dans plusieurs villes et pays, le processus prendra un certain temps.

Tous les systèmes ne sont pas égaux face à la transition vers Zero Trust. Si votre entreprise dispose d’une infrastructure complexe, par exemple, elle peut inclure des dispositifs ou des logiciels obsolètes qui ne peuvent pas prendre en charge les normes de sécurité actuelles. Le remplacement de ces systèmes prendra du temps et de l’argent.

Vos employés, y compris les membres de vos équipes informatiques et infosec, ne seront peut-être pas prêts pour ce changement de cadre. Après tout, ce sont eux qui deviendront responsables du contrôle d’accès et de la gestion de votre infrastructure.

Cela signifie que dans de nombreux cas, les entreprises peuvent avoir besoin d’un plan de transition graduel à Zero Trust. Google, par exemple, a eu besoin de sept ans pour construire le cadre BeyondCorp basé sur Zero Trust. La durée de l’implantation de Zero Trust peut être sensiblement plus courte pour les entreprises moins ramifiées, mais il ne faut pas s’attendre à ce que le processus se déroule en quelques semaines, ni même en quelques mois.

Zero Trust, la sécurité du futur

Ainsi, le passage d’un périmètre de sécurité traditionnel à une surface protégée avec Zero Trust, même en supposant l’utilisation des technologies disponibles, reste un projet complexe et lent, tant en termes d’ingénierie que de changement de mentalité des employés. Toutefois, il permettra à l’entreprise de bénéficier de dépenses réduites en matière d’infosécurité ainsi que d’une diminution du nombre d’incidents et des dommages qui y sont associés.

Comment travailler depuis chez soi en semi-quarantaine semi-permanente sans devenir fou

Vous pouvez concevoir une zone de confort digital que vous ne voudrez plus quitter.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Ne jamais faire confiance, toujours vérifier : le modèle de sécurité Zero Trust

Finis, les périmètres

Zero Trust dans la pratique

La surface de protection au lieu de la surface d’attaque

Micro-segmentation

Le principe du moindre privilège

Authentification

Contrôle total

Les avantages de Zero Trust

Les difficultés de la mise en œuvre de Zero Trust

Zero Trust, la sécurité du futur

Kaspersky Next : une nouvelle gamme de solutions de sécurité

Des distributions Linux infectées par un code malveillant

Comment travailler depuis chez soi en semi-quarantaine semi-permanente sans devenir fou

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky