Accès rapide au contenu
Personne consultant des données sur un ordinateur portable

Qu'est-ce que la confiance zéro?

 

Cette page Web a été traduite automatiquement pour vous faciliter la tâche. SAP ne fournit aucune garantie concernant l'exactitude ou l'exhaustivité de la traduction automatique. La page web originale en anglais peut être trouvée en utilisant la carte du monde située dans le coin supérieur droit de cette page.

Le principe de confiance zéro, qui consiste à « ne jamais avoir confiance, toujours vérifier », est devenu une pratique essentielle pour sécuriser les réseaux Cloud complexes et diversifiés d'aujourd'hui. Il n'y a pas si longtemps, vous pouviez verrouiller la porte d'entrée de votre entreprise, en vous assurant que toutes vos informations précieuses étaient sécurisées à l'intérieur de ces murs. Ensuite, des ordinateurs portables, des disques et des bâtons de mémoire sont apparus, et chaque fois que vous entendiez parler d'une personne laissant des secrets d'État dans un train quelque part. Aujourd'hui, les données de votre entreprise sont potentiellement disponibles partout où elles sont connectées. Et avec l'augmentation sans précédent de la main-d'œuvre distante et distribuée, ce « n'importe où » peut être « n'importe où dans le monde ».

 

Aujourd'hui, les meilleures solutions logicielles fonctionnent toutes dans le cloud, pour ne rien dire des millions de terminaux et d'actifs connectés dans les réseaux IoT industriels au monde. Et bien que les applications cloud ne soient généralement pas moins sécurisées que les applications sur site, bien au contraire, il existe de nouveaux risques dans le monde connecté d'aujourd'hui. Les technologies numériques et cloud ont élargi ce que les experts en sécurité appellent la surface d'attaque de chaque organisation. 

 

Les protocoles de cybersécurité traditionnels sont calqués sur l'idée que les utilisateurs passent par la sécurité à la porte d'entrée virtuelle de l'entreprise, puis qu'ils exécutent l'endroit une fois qu'ils sont arrivés à l'intérieur. En d'autres termes, ils ont été développés dans un monde pré-nuageux. Mais aujourd'hui, les points d'accès sont plus nombreux (le téléphone personnel d'un collaborateur ou une imprimante IdO pourrait être un portail potentiel) et les entreprises ont dû mettre fin à leurs stratégies de sécurité. Avec les cyberattaques à un niveau record, la sécurité du réseau doit être prioritaire en tête de votre liste de choses à faire. La mise en œuvre d'une relation de confiance zéro exige un engagement et une collaboration dans l'ensemble de votre entreprise.

Zéro confiance : définition et stratégie

John Kindervag travaillait en tant qu'analyste chez Forrester Research en 2010, à une époque où les applications cloud et les terminaux IoT commençaient à augmenter rapidement. Kindervag a reconnu à juste titre l'énorme sensibilité et la valeur des données et de la propriété intellectuelle détenues par les systèmes Forrester. En réponse à ce risque croissant, il a inventé le terme de confiance zéro et a conduit au développement de nombreux principes fondamentaux. 

 

La confiance zéro peut être définie comme un modèle de sécurité informatique qui exige que chaque utilisateur et dispositif potentiellement connecté vérifie strictement son identité, qu'il se trouve à l'intérieur ou à l'extérieur des périmètres de l'entreprise. L'architecture de confiance zéro (ZTA) repose sur un ensemble de processus et de protocoles ainsi que sur des solutions et outils numériques dédiés pour réussir. 

 

ZTNA (Zero Trust Network Access) est l'application d'une architecture de confiance zéro que Gartner définit comme la création « d'une frontière logique, basée sur l'identité et le contexte, autour d'une application ou d'un ensemble d'applications ». Cela supprime ces applications de la vue publique et n'autorise que les utilisateurs qui sont vérifiés et qui respectent les règles d'accès prédéfinies.

 

Mais en réalité, la confiance zéro commence par une transformation culturelle au sein de votre entreprise. Nous avons tendance à penser à la cybersécurité en termes de mauvais acteurs qui s'efforcent intentionnellement de causer des dommages, mais malheureusement, c'est souvent l'ignorance plutôt que la malveillance qui conduit au risque et à la perte. En fait, un rapport récent montre une augmentation de 48 % des attaques par e-mail au cours du premier semestre 2022 seulement, au cours duquel les employés ont été attirés par des escroqueries ou des détails divulgués à la suite de l'hameçonnage. Cela illustre pourquoi l'éducation et l'adhésion culturelle sont un élément crucial de la mise en œuvre sans confiance.  

Pourquoi les principes de confiance zéro sont-ils si nécessaires en ce moment ?

Il ne fait guère de doute que les cyberattaques sont en hausse. En 2022, une grande enquête a été menée auprès de 1 200 grandes entreprises dans 14 secteurs différents et 16 pays. Malgré la priorité accordée à la cybersécurité, de nombreux répondants ont admis avoir une sécurité inadéquate. En fait, les conclusions ont montré une augmentation alarmante de 20,5 % du nombre de violations matérielles au cours des mois entre 2020 et 2021.

 

Voici quelques-uns des autres défis de sécurité auxquels les entreprises d'aujourd'hui sont confrontées :

  • Pare-feu existants. De nombreuses entreprises sont trop dépendantes des pare-feu qui datent de la prolifération de la connectivité Cloud. Les VPN sont une aide viable pour augmenter les pare-feu, mais ils ne constituent pas une solution efficace à long terme en raison de leur périmètre limité et de leur tendance à ralentir les performances des applications de gestion, ce qui a un impact sur la productivité des salariés.
  • Complexité de la vérification. Un logiciel indépendant des appareils est parfait pour les utilisateurs, mais ajoute une couche complexe aux protocoles de sécurité. Même lorsque les utilisateurs ont des téléphones d'entreprise et des ordinateurs portables, ils sont uniquement aussi sûrs que les protocoles de vérification et de sécurité mis en place pour les protéger.
  • Appareils tiers. Avec la pandémie, des travailleurs entiers ont été envoyés travailler de chez eux, presque du jour au lendemain. Beaucoup d'entreprises n'avaient d'autre choix que de laisser les employés utiliser leurs propres ordinateurs et appareils. Dans de nombreux cas, des solutions de contournement de sécurité ont été mises en place pour assurer la continuité de l'activité et l'éclairage. Mais pour de nombreuses entreprises, elles doivent encore détricoter ces mesures temporaires et mettre en œuvre des mesures de confiance zéro, plus étanches aux balles, pour leurs travailleurs à distance.  
  • Applications non autorisées. L'utilisation des applications de gestion SaaS est en constante progression. Malheureusement, de nombreuses équipes informatiques sont trop minces, ce qui incite souvent les utilisateurs à acheter leurs propres applications et à les utiliser au sein du réseau de l'entreprise, sans en informer leurs équipes informatiques. Non seulement ces applications ne sont pas soumises à des pratiques de confiance zéro strictes, mais elles peuvent aussi avoir totalement contourné les mesures de sécurité. 
placeholder
  • Connectivité IoT. Un appareil IdO industriel peut être aussi simple qu'un ventilateur ou une machine à souder. Comme ces appareils ne sont pas considérés comme un « ordinateur » de quelque nature que ce soit, les utilisateurs peuvent facilement oublier qu'ils constituent un point d'accès potentiel au réseau de l'entreprise. L'architecture de confiance zéro met en place des automatisations et des processus qui garantissent la sécurité de tous les points de terminaison, machines et actifs IoT. 
  • Portails omnicanal. Les collaborateurs ne sont pas les seuls dans le cloud de votre entreprise. De plus en plus, nous voyons apparaître des terminaux connectés tels que des rayons intelligents en magasin et des applications mobiles « payantes » où que vous soyez. Tous ces portails omnicanal représentent un risque. Zéro confiance permet de sécuriser ces risques sans gêne ou retard indu pour vos clients. 
  • Défis liés à la sécurité ERP. Dans les années passées, les systèmes ERP étaient limités à certaines tâches de planification et de finance et ne comportaient qu'un nombre limité d'utilisateurs au sein de l'entreprise. Cependant, les meilleurs systèmes ERP cloud d'aujourd'hui sont pilotés par l'IA, l'analytique avancée et des bases de données puissantes et évolutives.  Ils ont la capacité de s'intégrer à des applications et systèmes disparates dans l'ensemble de l'entreprise et sont de plus en plus exploités pour optimiser et rationaliser chaque domaine opérationnel. Les systèmes ERP modernes ont des systèmes de sécurité avancés intégrés, mais comme n'importe quel système, ils présentent des vulnérabilités qui ne font qu'augmenter leur portée et leur accessibilité. Les principes de confiance zéro lorsqu'ils sont appliqués à une sécurité ERP cloud solide, vous aident à protéger votre entreprise à chaque étape. 

Comment fonctionne la confiance zéro ?

La confiance zéro combine un ensemble de technologies et de protocoles tels que l'authentification à facteurs multiples, les solutions de sécurité des points de terminaison et les outils basés sur le cloud pour surveiller et vérifier une variété d'attributs et d'identités, des utilisateurs aux points de terminaison. La confiance zéro nécessite également le chiffrement des données, des e-mails et des charges de travail pour garantir leur sécurité. Essentiellement, aucun protocole de confiance :

  • Contrôlez et limitez l'accès au réseau de n'importe qui, n'importe où, sur n'importe quel terminal ou immobilisation. 
  • Vérifier tout utilisateur ou actif pouvant accéder à n'importe quel niveau du réseau 
  • Enregistrer et inspecter tout le trafic réseau en temps réel 

Un modèle de sécurité de confiance zéro utilise une politique de connaissance sélective. En résumé, cela signifie que les utilisateurs ont uniquement accès aux données et aux applications dont ils ont besoin pour effectuer leurs tâches. Et une fois de plus, la technologie est l'épée à double tranchant dans la course à une meilleure cybersécurité. À mesure que les solutions numériques et la connectivité s'améliorent, elles créent une plus grande surface d'attaque, de sorte que des technologies de sécurité plus efficaces et plus rapides sont nécessaires pour suivre le rythme. Ne vous contentez pas de suivre le rythme, vous causez un minimum de désagréments et de perturbations pour l'utilisateur. Cela nécessite des politiques de sécurité hautement agiles et dynamiques, étayées par des informations contextuelles et la quantité maximale de points de données disponibles, et en temps réel. Qui est cette personne ? Où sont-ils ? À quoi essayent-ils d'accéder ? Pourquoi ont-ils besoin de cet accès ? Sur quel terminal ou quel point de terminaison arrivent-ils ?  

Avantages des solutions « zéro confiance »

Au plus grave, les violations de données peuvent être catastrophiques. Les données privées de vos clients sont en jeu, tout comme vos finances, votre propriété intellectuelle et, bien sûr, votre bonne réputation. Comme les assurances, les investissements sécuritaires peuvent sembler une grosse dépense… jusqu’à ce que vous en ayez besoin. Et puis ils ressemblent à un petit prix à payer pour protéger votre entreprise. 

 

Voici quelques-uns des nombreux avantages des solutions de confiance zéro :  

  • Protéger les travailleurs hybrides et distants. Nous avons vu comment les télétravailleurs et les terminaux personnels ont révolutionné le jeu de la cybersécurité. Mais ce n'est pas seulement votre entreprise qui est en danger. Les cybercriminels peuvent cibler personnellement vos employés. Il est donc important de veiller à ce que des mesures strictes soient mises en place pour réduire leurs risques et les vôtres.
  • Prise en charge de l'agilité et des nouveaux modèles de gestion. Pour être compétitives et gérer les perturbations, les entreprises doivent être en mesure de s'adapter et d'explorer de nouveaux modèles de gestion. Cela implique l'intégration de nouvelles applications, de nouveaux logiciels et de nouveaux actifs connectés. Garantir la sécurité dans ces circonstances est une tâche décourageante si elle est traitée manuellement. Heureusement, les meilleurs outils logiciels zéro confiance peuvent accélérer les choses grâce à une automatisation intelligente et à des solutions personnalisables qui garantissent que toutes les étapes cruciales sont prises. 
  • Réduction des dépenses de ressources informatiques. Demandez à tout professionnel de l'informatique combien de temps il passe sur les tâches de sécurité manuelles. La réponse est probablement « trop ». Au fur et à mesure que les entreprises transfèrent leurs principaux systèmes d'entreprise vers le Cloud, les correctifs de sécurité et les mises à jour peuvent être automatisés et exécutés en arrière-plan. Cela s'applique également aux protocoles de sécurité de confiance zéro. Des utilisateurs aux points de terminaison, de nombreuses tâches de chiffrement et de vérification de base associées à une confiance nulle peuvent être automatisées et planifiées.
  • Fournir un inventaire précis. Les principes de confiance zéro imposent à l'entreprise de conserver un inventaire précis de tous les actifs, utilisateurs, terminaux, applications et ressources connectées. Avec les bonnes solutions en place, les mises à jour des stocks peuvent être définies pour être mises à jour automatiquement, ce qui garantit une précision en temps réel. En cas de tentative de violation, il s'agit d'un outil d'enquête inestimable. En outre, les entreprises ont souvent des millions d'actifs immobilisés, de sorte qu'un inventaire précis est également un avantage financier.
  • Offrir une meilleure expérience utilisateur. Les processus de vérification traditionnels pourraient être lents et difficiles à gérer. Cela a conduit les utilisateurs à essayer de contourner les protocoles de sécurité, ou même à éviter l'utilisation d'outils et d'applications essentiels en raison de leur difficulté d'utilisation. Les meilleures solutions de confiance zéro sont conçues pour être peu intrusives et réactives, soulageant les collaborateurs de la difficulté d'inventer (puis d'oublier) des mots de passe et des processus de vérification lents à répondre. 

Meilleures pratiques de confiance zéro : prise en main

Il y a plusieurs tâches que vous devrez accomplir une fois que votre transformation « zéro confiance » aura commencé. Cela inclut le catalogue de vos immobilisations, la définition de segments au sein de votre organisation et la classification de vos données pour une transition plus fluide.

 

La confiance zéro commence par un engagement et les étapes suivantes peuvent vous aider à vous lancer : 

  • Déléguer. Votre équipe informatique est déjà trop occupée. Envisagez de recruter ou de nommer un professionnel dédié de la gestion du changement de cybersécurité qui pourra vous aider à limiter les risques, identifier les opportunités d'amélioration et élaborer une feuille de route praticable.
  • Communiquer. Soyons honnêtes, vos collaborateurs ne seront pas immédiatement ravis des nouvelles de mesures de sécurité plus strictes. Au fur et à mesure que vous investissez dans une meilleure sécurité, vous devez également investir dans des messages et une communication plus attrayants autour de cette transformation. Il existe de nombreux exemples concrets des dangers de la cybercriminalité. Aidez vos équipes à comprendre que ce n'est pas seulement la direction qui est touchée par une violation de données. Elle coûte des emplois, affecte les individus et menace la survie de l'entreprise. 
  • Audit. En collaboration avec un spécialiste de la sécurité, établissez une liste de contrôle des risques liés à la sécurité et contrôlez chaque domaine de l'entreprise. Supprimez les silos et entrez en contact avec des spécialistes de votre équipe. Ils savent mieux que quiconque où se trouvent les faiblesses et les vulnérabilités dans leur domaine, en particulier dans les opérations internationales complexes telles que les chaînes logistiques et la logistique.
  • Prioriser. Déterminez l'importance et l'urgence relatives de toutes vos opérations et tâches de gestion et affectez une évaluation. Déterminer une évaluation basée sur les rôles pour savoir qui a besoin d'un accès critique aux choses et qui moins. Cette priorisation initiale vous aidera également à vous préparer à la microsegmentation qui est un élément fondamental de la confiance zéro – empêchant les mouvements latéraux et leur exposition aux violations de données. 

Dans le monde actuel des euphémismes et du langage prudent, la confiance zéro peut sembler à vos employés comme un terme un peu cynique. Alors, sortez devant ça quand vous introduisez zéro confiance à vos équipes. Dites-leur d'emblée que cela ne signifie en aucun cas que vous ne leur faites pas confiance. Ce sont les cybercriminels que personne ne doit faire confiance, car ils peuvent donner l'impression que les choses ne sont pas ce qu'ils ne sont pas. Ils peuvent se faufiler à travers les lacunes les plus profondes et, une fois qu'ils sont à l'intérieur, ils ne se soucient plus de qui ils endommagent.

 

placeholder

Zéro confiance et SAP

Sécurisez votre entreprise avec l'aide d'un partenaire innovant et fiable.

Visiter le SAP Trust Center

Lettre d'information SAP Insights

placeholder
S'abonner

Obtenez des insights clés en vous abonnant à notre lettre d'information.

Poursuite de la lecture

Haut de page