Démystifier l'architecture Zero Trust : la nouvelle référence cyber
Stratégie moderne ou tendance brûlante en matière de sécurité, l'adoption de l'architecture Zero Trust est aujourd'hui à un point de basculement.
Selon le rapport The State of Zero Trust Security 2022 d'Okta, 55 % des organisations interrogées ont mis en place une initiative de Zero Trust et 97 % prévoient de mettre en œuvre un tel cadre au cours des 12 à 18 prochains mois. Plusieurs organisations sont passées d'un stade d'adoption précoce à la définition de feuilles de route pour atteindre la maturité depuis 2022. Le Zero Trust représente désormais la nouvelle norme de cybersécurité pour les entreprises, qui cherchent à évaluer la confiance de chaque transaction.
Définition du Zero Trust
L’architecture Zero Trust, fondée sur la conviction de John Kindervag, selon laquelle il ne faut jamais faire confiance, mais toujours vérifier, élimine le concept de confiance implicite de l'écosystème informatique d'une organisation. En place, ce modèle garantit le plus haut niveau de cyberprotection, avec un cadre fondamental et une stratégie d'entreprise qui n'ont pas besoin de changer à mesure que les technologies évoluent et deviennent redondantes.
Pour être efficace, l’approche Zero Trust doit s'aligner sur les principes fondamentaux suivants :
- Le moindre accès : l'utilisateur dispose d'un niveau d'accès minimum pour mener à bien ses tâches professionnelles.
- La violation de données : supposer qu'une violation cybernétique se produira et vérifier chaque demande - qu'elle provienne de l'intérieur ou de l'extérieur de l'organisation.
- La vérification explicite : authentifier et autoriser chaque demande avant d'accorder un accès conditionnel.
- L’accès en fonction du contexte : contrôle de l'application et de l'utilisateur qui peuvent accéder au réseau en fonction de leur contexte, c'est-à-dire de leur localisation, du niveau de sécurité de leur appareil, du pays d'origine de leurs connexions etc.
- La sécurité centrée sur les données : tous les contrôles, processus et politiques de cybersécurité sont basés sur la criticité des données au lieu d'une solution unique.
- La protection contre les attaques de mouvement latéral : mettre l'accent sur la protection contre ce type d’attaques, après que la sécurité du point d'accès a été compromise.
Pourquoi opter pour le Zero Trust ?
Compte tenu de la complexité des écosystèmes informatiques actuels, la sécurité des réseaux traditionnels basée sur le périmètre est aujourd’hui insuffisante. La pandémie et les blocages qui ont suivi ont également poussé des millions de travailleurs à se connecter à distance aux systèmes de l'entreprise. En outre, le volume des cyberattaques sophistiquées a augmenté de manière exponentielle. L’attention portée au modèle Zero Trust s'est ainsi accrue significativement en Europe. Selon le rapport Forrester de mars 2023, plus de deux tiers des organisations européennes ont commencé à développer une telle stratégie.
Le Zero Trust se concentre sur la protection de la sécurité de l'entreprise de manière proactive, plutôt que réactive. Plusieurs entreprises disposent encore d'outils de sécurité périmétrique traditionnels relativement lourd, qui ne sont plus adaptés pour se protéger contre les cybermenaces. Les entreprises sont passées d'environnements restreints à des architectures décentralisées. Parallèlement, les acteurs de la cybermenace ont évolué, avec des attaques plus avancées et plus sophistiquées sur les réseaux distribués. La « confiance implicite » représente aujourd’hui devenue une vulnérabilité critique pour les entreprises, car les principales menaces ciblées et avancées proviennent désormais de l'intérieur du périmètre de l'entreprise.
Déterminer la meilleure stratégie Zero Trust
Lors de l'adoption du cadre de sécurité Zero Trust, les responsables de la cybersécurité doivent tenir compte de six principes clés : identité sécurisée, dispositifs sécurisés, applications sécurisées, réseaux sécurisés, données sécurisées et cyber-gouvernance. L'identité permet un accès conditionnel en fonction du comportement de l'utilisateur, du niveau de sécurité de l'appareil et de l'endroit où il se trouve. En sécurisant les appareils, l'accès à distance est protégé par des solutions telles que la gestion des vulnérabilités, les plateformes de protection des traitements cloud (CWPP - Cloud Workload Protection Platform), la détection et la réponse étendues (XDR – eXtended Detection and Response) et la gestion des appareils mobiles de l'entreprise. Un autre principe est la sécurisation des applications. Les réseaux restent l'épine dorsale des entreprises numériques et sont sécurisés à l'aide de solutions telles que le Secure Access Service Edge (SASE), l’accès au réseau Zero Trust etc. La sécurité centrée sur les données est devenue une nécessité absolue, car la fuite de données critiques peut entraîner des pertes financières considérables et un risque majeur pour la réputation d’une entreprise. Cette approche n'est efficace que s'il existe une gouvernance de la cybersécurité automatisée, dynamique et en temps réel.
Lors de l’adoption d’une stratégie Zero Trust, il est impératif d’évaluer le niveau de maturité de l’organisation : est-elle au stade de la cyber-exposition ou de la cyber-résilience ? Il est crucial d’établir une feuille de route pour l'adoption d’une telle architecture, en fonction du niveau de maturité de l’entreprise. L'adoption de ce modèle n'est pas sans poser certains problèmes. Très souvent, les organisations adoptent une approche fragmentaire, ce qui peut entraîner certaines lacunes et défaillances de sécurité. Il faut également drastiquement veiller aux coûts du déploiement de l’architecture Zero Trust, qui peut impliquer d'importants changements au niveau du matériel, des logiciels et même des processus pour réussir. En somme, l’architecture Zero Trust nécessite une administration et une maintenance continues.
Toutefois, les avantages d'une stratégie Zero Trust l'emportent largement et cette stratégie semble devenir une des solutions les plus robustes et fiables pour protéger les entreprises contre les violations de données modernes.