Le Zero Trust et l'avenir du lieu de travail
Il n'a jamais été aussi difficile de gérer les cyber risques et de relever les défis d'un paysage économique en constante évolution. Un récent rapport de Forrester s'est penché sur les nouveaux défis
Les entreprises voient de plus en plus de types d'utilisateurs, d'entités non humaines, d’équipements et de sources de données à protéger et à gérer. Face à cette dynamique de plus en plus complexe, de nombreuses organisations se tournent vers un modèle de sécurité de type zero trust. Vous avez probablement entendu parler du terme zero trust, mais qu'est-ce que cela signifie exactement ? En termes simples, le zero trust signifie qu'aucun utilisateur ne doit automatiquement bénéficier de la confiance, qu'il opère à l'intérieur ou à l'extérieur du réseau d'une entreprise.
Lorsque la plupart des professionnels pensent à faire confiance aux utilisateurs ou à les sécuriser, ils pensent à des êtres humains - employés, clients, partenaires, sous-traitants, etc. Toutefois, les utilisateurs peuvent également être des personnes non humaines (appareils, robots, comptes de service, API, etc.). Au cours des deux dernières années a eu lieu une augmentation rapide du volume et des différents types d'identités non humaines. Il est primordial d'en tenir compte lorsque les organisations réfléchissent à leurs identités et à leur stratégie zero trust.
Par le passé, les entreprises se sont souvent tournées vers la gestion des accès ou l'authentification (comme le SSO ou le MFA) pour résoudre le problème du zero trust. Bien qu'il s'agisse de composantes essentielles de la sécurité, le SSO (Single Sign On) et le MFA (authentification multi facteurs) ne sont pas suffisants. Le zero trust nécessite une solution de sécurité globale. L'absence de mise en œuvre d'une stratégie complète en matière d'identités et de zero trust, portant non seulement sur les identités humaines, mais aussi sur les identités non humaines, peut exposer les organisations à des risques accrus en matière de business, de conformité et de sécurité.
Lors d’un récent rapport, l’ANSSI mentionnait l’importance "d’une gouvernance améliorée de l’identité" pour l’intégration des principes du zero trust au sein du SI : "En tant qu’éléments clés du modèle zero trust, le ou les référentiels d’identité doivent être assainis avec une politique stricte de mise à jour lors des arrivées, départs et mobilités. Ils doivent refléter fidèlement la situation courante des utilisateurs."
Les pratiques de gestion des identités et des accès doivent évoluer pour sécuriser les identités non humaines avec la même rigueur que celle appliquée aux identités humaines.