Zero Trust, la clé d’une transformation numérique réussie

La notion de “Zero Trust”, modèle de sécurité dont le principe est de "vérifier et ne jamais faire confiance", permet aux entreprises de protéger leurs activités et d'accélérer leur développement.

La transformation numérique a des répercussions non négligeables sur l'exposition des entreprises aux attaques, mais aussi sur leurs architectures réseau et de sécurité. 70% des entreprises ont enregistré un incident de sécurité ayant eu des répercussions sur leurs activités au cours de l'année passée. 

Selon un article de CBS Money, les usages des salariés ont changé et la surface d’exposition aux attaques dans l’entreprise s’est étendue. Les utilisateurs/terminaux et les applications/données sortent progressivement du périmètre de l'entreprise et de sa sphère de contrôle, ainsi plus de 67 % des salariés utilisent leurs terminaux personnels au travail. Ces changements des usages créent, sous l'impulsion de la transformation numérique, de nouveaux processus métier qui étendent, de ce fait, la surface d'exposition aux risques. La politique qui consiste à faire confiance tout en vérifiant n'est plus envisageable, avec l'apparition de menaces avancées qui s'infiltrent dans le périmètre de l'entreprise. Les périmètres classiques sont complexes, porteurs de risques et ne conviennent plus aux modèles économiques actuels. Il s’agit donc de repenser la structure même de l’entreprise par l’évolution de ses réseaux et le renforcement de sa sécurité.Le périmètre classique de l’entreprise, un véritable frein à la transformation numérique
Le périmètre classique de l’entreprise dont fait partie la fameuse “zone démilitarisée” ou “DMZ”, se compose souvent d'un assortiment de composants matériels et logiciels auxquels s'ajoutent de nombreux fournisseurs pour les accès, les systèmes de gestion d'identité (IAM), la diffusion, les performances et d'autres services. Pour des questions de redondance et de haute disponibilité, ce périmètre doit être reproduit afin de couvrir l'ensemble des zones et des centres de données. Si on multiplie ces déploiements par le nombre de sites de l'entreprise et la quantité de fournisseurs qui peuvent intervenir, on perçoit aisément le problème de complexité posé par ce type de périmètre. En effet, le périmètre classique ne répond pas aux deux principes inhérents au modèle “Zero Trust”, qui sont à la fois de tout vérifier, n'accorder aucune confiance aux utilisateurs du réseau et également de limiter la diffusion des applications et des données aux seuls terminaux/utilisateurs authentifiés et autorisés au sein de l’entreprise.

Des risques humains et technologiques
 Les entreprises qui ne prennent pas pleinement conscience de l’élargissement de leur périmètre s’exposent à la fois à des risques technologiques et humains.Technologiques car les terminaux présents sur le réseaux de l’entreprise sont toujours plus nombreux et diversifiés alors que le périmètre réseau s’efface. Selon le cabinet d'études Gartner, le nombre de terminaux IoT installés devrait dépasser 20,4 milliards à l'horizon 2020. Les pirates du net développent toujours plus de nouveaux types d’attaques (credential stuffing, malwares, etc.) à mesure que s’étend le périmètre des entreprises. En effet, imaginons un malware qui se répande dans l’ensemble du réseau de l’entreprise et infecte à la fois l’équipement réseau, les smartphones et autres objets connectés. Les dommages sur les assets de la société seraient considérables. Humains, car le manque d’éducation à la cybersécurité des employés et la mobilité grandissante de ceux-ci sont des freins à la confiance à leur accorder au sein de l’entreprise. En effet, un terminal personnel utilisé dans l’espace de travail est amené à être utilisé à la fois dans les transports en communs, les espaces de loisirs (cinéma, restaurants,.) mais aussi lors de possibles sessions de télétravail dans des lieux partagés comme les cafés ou espaces de coworking par exemple.
Faire évoluer son réseau en mettant en place un périmètre cloud afin d’assurer à la fois la sécurité et la performance du réseau. Les DSI ont alors la responsabilité d’accompagner la transformation numérique de leur entreprise d’un modèle “Zero Trust”.
Il est nécessaire de repenser le périmètre de l’entreprise et de passer à un périmètre cloud, articulé à Internet en tant que réseau principal. Faire évoluer le réseau en passant par le cloud permet aux entreprises de réussir leur transformation, valoriser leur activité et stimuler l'innovation. Elles gagnent également en agilité et en simplicité au niveau de la sécurité et de l'infrastructure informatique. Basculer dans le cloud permet également aux responsables d’appliquer un modèle de sécurité dont le principe central est de « vérifier et ne jamais faire confiance » (autrement dit, « zero trust »). Ils y gagneront à la fois une gestion des accès, la sécurisation des applications et une performance optimisée.

Toutefois repenser le périmètre de l’entreprise pour aller vers le cloud n’est pas suffisant. Il faut également faire évoluer les paramètres de sécurité de l’entreprise en cessant toute distinction entre « l’interne » et « l’externe » en partant du principe que tout est extérieur à l’entreprise, comme c’est le cas sur le web. Il faut donc que les DSI s’assurent d’avoir une visibilité complète des activités du réseaux afin de pouvoir déterminer ce qui est “normal” ou non.

Concrètement, il faut entreprendre des mesures en terme d’accès direct aux applications avec le contrôle systématique des utilisateurs par exemple, mais également en terme de protection systématique des applications contre les attaques volontaires ou involontaires (terminal compromis) émanant des utilisateurs en déployant des vérifications systématiques avec une journalisation complète et des analyses des comportement. Enfin, il ne faut pas négliger les paramètres de diffusion d’application et performances afin de proposer une expérience réseau optimale en réduisant la latence grâce à la diffusion des applications dans le cloud.

 

Afin de réussir leur transformation numérique et gagner en flexibilité et productivité, les entreprises ne peuvent ignorer plus longtemps les nouvelles habitudes de travail et risques qui en découlent. Les périmètres des entreprises doivent s’adapter à cette nouvelle ère. Que ce soit d’un point de vue de l’usage, de la sécurité ou de l’efficacité du réseau de l’entreprise, le modèle Zero Trust permet d’accompagner sereinement cette évolution.