L'approche zero-trust renforce la cybersécurité tout en améliorant l'expérience employé
Le zero-trust offre aux employés une navigation sûre dans le monde complexe, hybride et multicloud d'aujourd'hui. Le point sur cette approche.
La confiance est le fondement de la société humaine : lors de toute interaction sociale ou commerciale, nous avons besoin d’éprouver un certain niveau de confiance dans les personnes avec lesquelles nous interagissons. Et pourtant, l’un des concepts de sécurité dont on parle le plus aujourd’hui est l’architecture réseau zero-trust (donc zéro confiance en français). Il s’agit d’un mode d’interaction avec les applications et les données de l’entreprise plus sûr, mais aussi plus convivial pour les employés.
Imaginez que vous vous trouvez pour la première fois dans une ville étrangère et que vous devez prendre un taxi pour atteindre votre destination. Quand vous hélez un taxi, la seule chose à laquelle vous pouvez vous fier est une inspection rapide : s’il porte le signe typique lumineux sur son toit, un numéro d’immatriculation et le nom d’une compagnie de taxi écrit sur ses portières, vous montez à bord — à moins que la voiture, encore une fois à première vue, ne soit en piteux état. Dès que vous avez pris place dans le taxi, vous devez faire confiance au chauffeur : vous devez partir du principe qu’il vous conduira sans encombre et en toute sécurité à votre destination. Cela peut générer une légère appréhension, mais nous nous en accommodons.
Du point de vue de l’équipe IT chargée de sécuriser le réseau de l’entreprise, tous les comptes d’utilisateurs ressemblent à de petits taxis : les véhicules que les employés utilisent pour parcourir les autoroutes de données de l’entreprise sont leurs appareils, leur permis de taxi est leur profil d’utilisateur et le mot de passe d’accès associé et, tout comme les taxis du monde réel, ils peuvent avoir des accidents ou même être pris pour cible par des acteurs malveillants. Ainsi, alors que les entreprises se contentaient autrefois d’un simple contrôle initial des papiers, les équipes chargées de la sécurité des réseaux et des technologies de l’information d’aujourd’hui ne peuvent pas simplement supposer que ces chauffeurs conduiront leurs taxis de manière sûre et responsable : elles doivent s’en assurer.
Ce changement s’explique par deux facteurs principaux : premièrement, la plupart des processus métier nécessitent une infrastructure IT fiable et sécurisée. L’équipe de sécurité informatique doit donc examiner de près qui utilise cette infrastructure et de quelle manière. Deuxièmement, la base d’utilisateurs d’aujourd’hui est beaucoup plus hétérogène qu’auparavant. Alors qu’il y a vingt ans (ou même seulement dix ans), la plupart des utilisateurs accédaient aux ressources de leur entreprise en utilisant des appareils de l’entreprise depuis le réseau de l’entreprise, la situation actuelle est très différente et beaucoup plus complexe.
Les employés travaillent de manière de plus en plus flexible : ils peuvent accéder aux applications et aux données partout, que ce soit depuis leur domicile, depuis un hôtel en voyage d’affaires, depuis un train ou un avion, ou depuis leur café préféré. La tendance bring your own device (BYOD) s’était déjà amorcée bien avant la crise sanitaire. En outre, de plus en plus d’applications et de données ne sont plus hébergées en local mais dans le cloud (généralement dans différents clouds publics).
Le défi consiste donc à garantir le niveau de sécurité requis dans un environnement de plus en plus complexe. Pour y parvenir, l’approche zero-trust remplace le contrôle de sécurité initial "en un coup d’œil" par la règle "ne jamais faire confiance, toujours vérifier" : dans une architecture réseau zero-trust, un logiciel de sécurité basé sur des algorithmes d’IA surveille en permanence le comportement de l’utilisateur (plus précisément : le compte de l’utilisateur) et de son appareil, en vérifiant les écarts par rapport aux règles définies et aux modèles de comportement habituels.
La première étape consiste à vérifier en permanence l’identité de l’utilisateur, idéalement en appliquant une authentification multifactorielle via des tokens matériels ou des applications soft-token. La deuxième étape est la surveillance des appareils, du statut de propriété (propriété de l’entreprise, propriété privée) à leur niveau de correction. Cette vigilance permanente permet à l’infrastructure zero-trust de réagir immédiatement aux activités suspectes, par exemple si une demande de connexion provient de Londres, mais qu’une minute plus tard, la demande suivante provient de Singapour : un signe évident de piratage d’un compte utilisateur. Dans ce cas, le logiciel zero-trust peut alerter l’équipe de sécurité ou même, s’il est autorisé à le faire, bloquer automatiquement l’accès de l’utilisateur. Dans d’autres cas qui ne sont pas aussi clairs, le logiciel peut demander aux utilisateurs de fournir une preuve supplémentaire de leur identité, par exemple en utilisant un deuxième facteur d’authentification. En matière de sécurité de l’information, l’accès des utilisateurs peut être limité aux ressources dont ils ont besoin dans le cadre de leurs rôles respectifs. À cela s’ajoutent des règles personnalisables qui limitent l’accès des utilisateurs en fonction de leur contexte actuel : l’utilisateur X peut être autorisé à accéder à tout type d’applis ou de données depuis n’importe où et avec n’importe quel appareil, mais l’utilisateur Y peut uniquement utiliser son logiciel de messagerie et le web à distance, tandis que l’utilisateur Z ne peut accéder aux données sensibles de business intelligence qu’en utilisant une authentification à deux facteurs et un terminal d’entreprise.
L’accent doit être mis sur l’expérience employé : les politiques d’accès doivent être conçues pour donner aux utilisateurs toute la flexibilité dont ils ont besoin dans leur journée de travail habituelle. Une fois cet ensemble de politiques établi, l’avantage du zero-trust est que le logiciel utilisera l’IA pour déterminer automatiquement une base de comportements normaux et n’interviendra qu’en cas de scénario suspect. Cela signifie que, la plupart du temps, les utilisateurs ne remarqueront pas du tout les algorithmes d’IA qui travaillent en arrière-plan. Le réseau zero-trust est donc beaucoup plus convivial pour les employés que les solutions de sécurité informatique traditionnelles, trouvant un équilibre parfait entre une sécurité résiliente et une facilité d’utilisation, permettant ainsi aux collaborateurs de travailler sans être distraits ou interrompus, tout en sachant que leur espace de travail digital est sécurisé.
En d’autres termes, une architecture réseau zero-trust (qu’il s’agisse d’un composant intégré à un environnement de travail digital ou d’une solution autonome) aura toujours un œil sur le chauffeur de taxi, non seulement lorsqu’il entre dans le taxi, mais tout au long du trajet. De cette façon, l’approche zero-trust offre aux employés un voyage sûr dans le monde complexe, hybride et multi-cloud d’aujourd’hui. Malgré son nom, elle établit en permanence la confiance nécessaire à un environnement de travail efficace et sécurisé offrant une excellente expérience aux employés.