Le principe directeur de confiance zéro (jamais confiance, toujours vérifier) est devenu une pratique essentielle pour sécuriser les réseaux Cloud complexes et diversifiés d'aujourd'hui. Il n'y a pas si longtemps, vous pouviez verrouiller la porte d'entrée de votre entreprise, confiant que toutes vos informations précieuses étaient sécurisées à l'intérieur de ces murs. Ensuite, il y a eu des ordinateurs portables, des disques et des bâtons de mémoire, et si souvent vous entendiez une histoire sur quelqu'un laissant des secrets d'État dans un train quelque part. Aujourd'hui, les données de votre entreprise sont potentiellement disponibles partout où il y a connectivité. Et avec l'augmentation sans précédent de la main-d'œuvre distante et distribuée, « n'importe où » peut littéralement être « n'importe où dans le monde ».

De nos jours, les meilleures solutions logicielles fonctionnent toutes dans le cloud, pour ne rien dire des millions d'appareils et d'actifs connectés dans les réseaux IoT industriels du monde. Et alors que les applications cloud ne sont généralement pas moins sécurisées que sur site, bien au contraire, il existe de nouveaux risques dans le monde connecté d'aujourd'hui. Les technologies numériques et cloud ont élargi ce que les experts en sécurité appellent la surface d'attaque de chaque organisation.

Les protocoles de cybersécurité traditionnels ont été calqués sur l’idée que les utilisateurs passent par la sécurité à la porte d’entrée virtuelle de l’entreprise et qu’ils aient ensuite la direction de l’endroit une fois qu’ils sont entrés. En d'autres termes, ils ont été développés dans un monde pré-cloud. Mais maintenant, il y a plus de points d'accès - le téléphone personnel d'un employé ou une imprimante IoT pourrait être un portail potentiel - et les entreprises ont dû réprimer leurs stratégies de sécurité. Avec les cyberattaques à un niveau record, la sécurité du réseau doit être en tête de votre liste de tâches. Une mise en œuvre sans confiance requiert engagement et collaboration dans l'ensemble de votre entreprise.

Zéro confiance : définition et stratégie

John Kindervag travaillait comme analyste chez Forrester Research en 2010, à une époque où les applications cloud et les appareils IoT commençaient à augmenter rapidement. Kindervag a reconnu à juste titre l’énorme sensibilité et la valeur des données et de la propriété intellectuelle détenues dans les systèmes de Forrester. En réponse à ce risque croissant, il a inventé le terme confiance zéro et a dirigé le développement de beaucoup de ses principes fondamentaux.

Zéro confiance peut être défini comme un modèle de sécurité informatique qui exige que chaque utilisateur et appareil potentiellement connecté vérifie strictement son identité, qu'il se trouve à l'intérieur ou à l'extérieur des périmètres de l'entreprise. ZTA (Zero Trust Architecture) repose sur un ensemble de processus et de protocoles ainsi que sur des solutions et outils numériques dédiés pour réussir.

ZTNA (Zero Trust Network Access) est l'application de l'architecture Zero Trust que Gartner définit comme la création d'une « limite d'accès logique basée sur l'identité et le contexte autour d'une application ou d'un ensemble d'applications ». Cela supprime ces applications de la vue publique et autorise uniquement les utilisateurs qui sont vérifiés et qui respectent les politiques d'accès prédéfinies.

Mais en réalité, la confiance zéro commence comme une transformation culturelle au sein de votre organisation. Nous avons tendance à penser à la cybersécurité en termes de mauvais acteurs qui s’efforcent intentionnellement de causer du mal, mais malheureusement, c’est souvent l’ignorance plutôt que la malveillance qui entraîne des risques et des pertes. En fait, un rapport récent montre une augmentation de 48 % des attaques par e-mail au cours du premier semestre 2022, au cours duquel les employés ont été attirés par des escroqueries ou divulgué des détails à la suite de l’hameçonnage. Cela illustre pourquoi l'éducation et l'adhésion culturelle sont une composante si critique de la mise en œuvre de la confiance zéro.

Pourquoi les principes de confiance zéro sont-ils si nécessaires en ce moment ?

Il ne fait guère de doute que les cyberattaques sont en hausse. En 2022, une enquête majeure a été menée auprès de 1 200 grandes organisations dans 14 secteurs différents et 16 pays. Malgré la priorité accordée à la cybersécurité, de nombreux répondants ont admis avoir une sécurité inadéquate. En fait, les constatations ont montré une augmentation alarmante de 20,5 % du nombre de violations matérielles au cours des mois entre 2020 et 2021.

Voici quelques-uns des autres défis de sécurité auxquels les entreprises d'aujourd'hui sont confrontées :

• Pare-feu hérités. De nombreuses entreprises dépendent trop des pare-feu antérieurs à la prolifération de la connectivité au cloud. Les VPN sont une aide à la bande viable pour augmenter les pare-feu, mais ils ne sont pas une solution efficace à long terme en raison de leur périmètre limité et de leur tendance à ralentir les performances des applications de gestion, ce qui a un impact sur la productivité des salariés.
• Complexité de la vérification. Un logiciel agnostique est idéal pour les utilisateurs, mais ajoute une couche complexe aux protocoles de sécurité. Même lorsque les utilisateurs ont des téléphones et des ordinateurs portables d'entreprise, ils sont aussi sûrs que les protocoles de vérification et de sécurité en place pour les protéger.
• Appareils tiers. Avec la pandémie, des effectifs entiers ont été envoyés travailler de chez eux, presque du jour au lendemain. De nombreuses entreprises n'avaient d'autre choix que de laisser les employés utiliser leurs propres ordinateurs et appareils. Dans de nombreux cas, des solutions de contournement de la sécurité ont été mises en place pour maintenir l'activité et les lumières allumées. Mais pour de nombreuses entreprises, elles doivent encore démêler ces mesures temporaires et mettre en œuvre des mesures de confiance zéro à l'épreuve des balles pour leurs travailleurs à distance.
• Applications non autorisées. L'utilisation d'applications de gestion SaaS est sur une trajectoire ascendante constante. Malheureusement, de nombreuses équipes informatiques sont limitées, ce qui conduit souvent les utilisateurs à acheter leurs propres applications et à les utiliser au sein du réseau de l'entreprise, sans en informer leurs équipes informatiques. Non seulement ces applications ne sont pas soumises à des pratiques strictes de confiance zéro, mais elles peuvent également avoir contourné complètement les mesures de sécurité.

• Connectivité IoT. Un appareil IoT industriel peut être aussi simple qu'un ventilateur ou une machine à souder. Comme ces appareils ne sont pas considérés comme un « ordinateur » de quelque nature que ce soit, les utilisateurs peuvent facilement oublier qu'ils constituent un point d'accès potentiel dans le réseau de l'entreprise. L'architecture Zero Trust met en place des automatisations et des processus qui garantissent la sécurité pour tous les points de terminaison, machines et actifs IoT.
• Portails omnicanal. Les collaborateurs ne sont pas les seuls dans votre cloud d'entreprise. Nous voyons de plus en plus de terminaux connectés tels que les rayons intelligents dans les magasins et les applications mobiles « payantes ». L'un de ces portails omnicanal représente un risque. Zéro confiance permet de sécuriser ces risques sans désagrément indu ou retard pour vos clients.
• Défis liés à la sécurité de l'ERP. Au cours des années passées, les systèmes ERP étaient limités à certaines tâches de planification et de finance et disposaient d'un nombre limité d'utilisateurs au sein de l'entreprise. Cependant, les meilleurs systèmes ERP cloud d'aujourd'hui sont pilotés par l'IA, l'analytique avancée et des bases de données puissantes et évolutives. Ils ont la capacité de s'intégrer à des applications et systèmes disparates dans l'ensemble de l'entreprise et sont de plus en plus exploités pour optimiser et rationaliser chaque domaine opérationnel. Les systèmes ERP modernes ont des systèmes de sécurité avancés intégrés, mais comme n'importe quel système, ils présentent des vulnérabilités qui ne font qu'augmenter la portée et l'accessibilité. Les principes de confiance zéro, lorsqu'ils sont appliqués à une sécurité ERP cloud solide, aident à protéger votre entreprise à chaque étape.

Comment zéro confiance fonctionne-t-il ?

Zero Trust combine un ensemble de technologies et de protocoles tels que l'authentification à facteurs multiples, les solutions de sécurité des points de terminaison et les outils basés sur le cloud pour surveiller et vérifier une variété d'attributs et d'identités, des utilisateurs aux points de terminaison. La confiance zéro nécessite également le chiffrement des données, des e-mails et des charges de travail pour garantir leur sécurité. Essentiellement, les protocoles Zero Trust :

• Contrôler et limiter l'accès au réseau depuis n'importe qui, n'importe où, via n'importe quel terminal ou actif
• Vérifier tout utilisateur ou actif qui a ou pourrait avoir accès à n'importe quel niveau du réseau
• Enregistrer et inspecter tout le trafic réseau en temps réel

Un modèle de sécurité zéro confiance utilise une politique du besoin d'en connaître. Cela signifie essentiellement que les utilisateurs n'ont accès qu'aux données et applications dont ils ont besoin pour effectuer leurs tâches. Et une fois de plus, la technologie est l'épée à double tranchant dans la course à une meilleure cybersécurité. À mesure que les solutions numériques et la connectivité s'améliorent, elles créent une surface d'attaque plus grande, de sorte que des technologies de sécurité de meilleure qualité et plus rapides sont nécessaires pour suivre le rythme. Et pas seulement suivre le rythme, mais aussi causer un minimum de désagréments et de perturbations pour l'utilisateur. Cela nécessite des politiques de sécurité hautement agiles et dynamiques, soutenues par des informations contextuelles et la quantité maximale de points de données disponibles, et en temps réel. Qui est cette personne ? Où sont-ils ? À quoi tentent-ils d'accéder ? Pourquoi ont-ils besoin de cet accès ? Sur quel appareil ou quel point de terminaison entrent-ils ?

Avantages des solutions zéro confiance

À leur plus grave, les violations de données peuvent être catastrophiques. Les données privées de vos clients sont en jeu, tout comme vos finances, votre propriété intellectuelle et, bien sûr, votre bonne réputation. Comme l’assurance, les investissements en sécurité peuvent sembler une grosse dépense… jusqu’à ce que vous en ayez besoin. Et puis ils ressemblent à un petit prix à payer pour protéger votre entreprise.

Voici quelques-uns des nombreux avantages des solutions zéro confiance :

• Protéger la main-d'œuvre hybride et à distance. Nous avons discuté de la façon dont les travailleurs à distance et les appareils personnels ont amélioré le jeu de la cybersécurité. Mais ce n'est pas seulement votre entreprise qui est en danger. Les cybercriminels peuvent cibler personnellement vos employés, il est donc important de veiller à ce que des mesures strictes soient mises en place pour réduire leurs risques et les vôtres.
• Soutenir l'agilité et les nouveaux modèles de gestion. Pour rester compétitives et gérer les disruptions, les entreprises doivent être en mesure de s'adapter et d'explorer de nouveaux modèles de gestion. Cela implique l'intégration de nouvelles applications, de nouveaux logiciels et de nouvelles ressources connectées. Garantir la sécurité dans ces circonstances est une tâche décourageante si elle est gérée manuellement. Heureusement, les meilleurs outils logiciels zéro confiance peuvent accélérer les choses grâce à l'automatisation intelligente et à des solutions personnalisables qui garantissent que toutes les étapes cruciales sont prises.
• Réduction des dépenses liées aux ressources informatiques. Demandez à tout professionnel de l'informatique combien de temps il passe sur les tâches de sécurité manuelles. La réponse est probablement « trop ». À mesure que les entreprises déplacent leurs systèmes d'entreprise centraux vers le cloud, les correctifs de sécurité et les mises à jour peuvent être automatisés et exécutés en arrière-plan. Cela s'applique également aux protocoles de sécurité zéro confiance. Des utilisateurs aux points de terminaison, la plupart des tâches principales de chiffrement et de vérification associées à zéro confiance peuvent être automatisées et planifiées.
• Fournir un inventaire précis. Les principes de confiance zéro imposent à l'entreprise de conserver un inventaire précis de tous les actifs, utilisateurs, terminaux, applications et ressources connectées. Avec les bonnes solutions en place, les mises à jour des stocks peuvent être configurées pour une mise à jour automatique, garantissant ainsi une précision en temps réel. En cas de tentative de violation, il s'agit d'un outil d'enquête inestimable. En outre, les entreprises ont souvent des millions d'actifs liés à la route, de sorte qu'un inventaire précis est également un avantage financier.
• Offrir une meilleure expérience utilisateur. Les processus de vérification traditionnels pourraient être lents et difficiles à gérer. Cela a conduit les utilisateurs à essayer soit de contourner les protocoles de sécurité, soit même d'éviter l'utilisation d'outils et d'applications essentiels en raison de leur utilisation difficile. Les meilleures solutions de confiance zéro sont conçues pour être peu intrusives et réactives, soulageant les employés des tracas de l'invention (puis de l'oubli) des mots de passe, et des processus de vérification lents à répondre.

Pratiques d'excellence zéro confiance : prise en main

Il y a plusieurs tâches que vous devrez accomplir une fois que votre transformation zéro confiance aura commencé. Cela inclut le catalogage de vos actifs, la définition de segments au sein de votre organisation et la classification de vos données pour une transition plus fluide.

Zéro confiance commence par un engagement et les étapes suivantes peuvent vous aider à avancer :

• Délégué. Votre équipe informatique est déjà trop occupée. Envisagez de recruter ou de nommer un professionnel de la gestion du changement dédié à la cybersécurité qui pourra vous aider à atténuer les risques, identifier les opportunités d'amélioration et élaborer une feuille de route réalisable.
• Communiquer. Soyons réalistes, vos employés ne seront pas immédiatement ravis par les nouvelles de mesures de sécurité plus strictes. Comme vous investissez dans une meilleure sécurité, vous devriez également investir dans des messages et des communications plus attrayants autour de cette transformation. Il existe de nombreux exemples concrets des dangers de la cybercriminalité. Aidez vos équipes à comprendre que ce n'est pas seulement la direction générale qui est touchée par une violation de données : elle coûte du travail, affecte les individus et menace la survie de l'entreprise.
• Audit. En collaboration avec un spécialiste de la sécurité, établir une liste de contrôle des risques pour la sécurité et auditer chaque domaine d'activité. Supprimez les silos et entrez en contact avec des spécialistes au sein de votre équipe. Ils connaissent mieux que quiconque les faiblesses et les vulnérabilités dans leurs domaines, en particulier dans les opérations mondiales complexes telles que les chaînes logistiques et la logistique.
• Prioriser. Déterminez l'importance relative et l'urgence de toutes vos opérations et tâches de gestion et affectez une évaluation. Déterminez une évaluation basée sur les rôles pour déterminer qui a un besoin critique d'accéder aux choses et qui l'est moins. Cette priorisation initiale vous aidera également à vous préparer à la micro-segmentation qui est une composante fondamentale de la confiance zéro – prévenir les mouvements latéraux et leur exposition aux violations de données.

Dans le monde actuel des euphémismes et du langage prudent, la confiance zéro peut sembler à vos employés comme un terme un peu cynique. Donc, sortez en face de cela lorsque vous introduisez zéro confiance à vos équipes. Dites-leur d’emblée que cela ne signifie en aucun cas que vous ne leur faites pas confiance. C’est aux cybercriminels que personne ne devrait faire confiance, parce qu’ils peuvent faire croire que les choses ressemblent à quelque chose qu’ils ne sont pas. Ils peuvent se faufiler à travers les lacunes les plus minuscules et une fois qu'ils sont à l'intérieur, ils ne se soucient pas de qui ils endommagent.