Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Architecture de sécurité Zero Trust : Le contrôle, c’est mieux

septembre 2022 par Paddy Srinivasan, CEO de GoTo

A l’heure du travail à distance, une nouvelle approche de la sécurité gagne en importance : "Zero Trust" signifie que l’infrastructure de sécurité ne fait confiance à personne, à moins d’avoir été vérifié - ni aux utilisateurs, ni aux appareils, ni aux applications. La mise en œuvre de ce concept est certes coûteuse, mais elle en vaut la peine, même dans les PME.

Conciliation de la vie professionnelle et de la vie privée, suppression des trajets, moins de distraction au bureau avec les collègues : les nouveaux modes de travail flexibles offrent aux salariés toute une série d’avantages. Mais ils ont aussi leurs inconvénients, en particulier la menace croissante pour la sécurité des entreprises. Selon un rapport de KuppingerCole commandé par HP Wolf Security, le nombre de cyberattaques a plus que doublé pendant la pandémie. Cela s’explique en grande partie par le fait que les employés utilisent davantage leurs ordinateurs professionnels à la maison, mais aussi de plus en plus souvent des appareils privés pour le travail. Selon l’enquête, une entreprise sur quatre (26 %) estime que les dommages causés par les cyberattaques sont "très graves", voire "menaçants pour leur existence". Les PME sont les plus touchées. Bien qu’elles soient exposées aux mêmes menaces que les grandes entreprises, elles ne disposent souvent pas des compétences et des ressources nécessaires pour mettre en œuvre toutes les mesures de sécurité requises.

Alors que les grandes entreprises emploient des experts en sécurité dédiés, une entreprise de moins de 100 employés n’a souvent qu’un ou deux spécialistes informatiques qui doivent s’occuper de toute l’infrastructure informatique. La mise à jour du paysage informatique du point de vue de la sécurité n’est donc qu’une des nombreuses tâches pour lesquelles le temps est souvent insuffisant compte tenu des exigences croissantes. Les approches traditionnelles de la sécurité fonctionnent selon le principe d’un château fort : les protocoles de sécurité ont pour objectif principal de tenir les menaces à l’écart d’un environnement centralisé. L’hypothèse de base est que l’on peut faire confiance à chaque utilisateur qui s’est connecté légalement au réseau avec les bonnes informations de connexion. Il peut se déplacer librement dans le système. Seul le trafic de données externe est considéré comme dangereux. Les attaques de phishing, l’ingénierie sociale ou l’exploitation de failles de sécurité permettent toutefois aux pirates de franchir le fossé. Et lorsqu’ils se trouvent dans le réseau, l’approche basée sur le périmètre ne fonctionne généralement plus.

Les solutions dites ZeroTrust y remédient. Grâce à des outils modernes et à une architecture ZeroTrust, même les petites entreprises peuvent atteindre le niveau de sécurité exigé par les grandes entreprises. Le modèle ZeroTrust repose sur un nouveau concept de prise en compte de la situation en matière de sécurité : en principe, aucun appareil, utilisateur ou service n’est autorisé s’il n’est pas suffisamment vérifié, même au sein du réseau de l’entreprise. Chaque accès aux données de l’entreprise est contrôlé. Avec un SoftwareDefined Perimeter (SDP), les accès au réseau et les connexions peuvent être établis selon le principe "Need to know". Cela signifie qu’un utilisateur ne reçoit des autorisations que si elles sont effectivement nécessaires pour la tâche en question.

Compte tenu de l’exploitation croissante de réseaux hybrides et virtuels, la sécurité du réseau n’est pas le seul élément décisif, la protection des données l’est tout autant. Outre l’authentification des utilisateurs, des clients et des applications, il faut donc également identifier les données afin de pouvoir suivre toutes les activités : qui accède aux informations, quand et que se passe-t-il ?

Même si le serveur envoie une mise à jour légitime à l’ordinateur portable d’un utilisateur, celle-ci ne sera exécutée dans un environnement ZeroTrust qu’après que l’administrateur informatique l’ait signée numériquement ou ait saisi un mot de passe. Il est essentiel que la mise à jour soit autorisée par l’homme et pas seulement par son ordinateur. Une architecture ZeroTrust au sein de l’entreprise est comparable à une autorité de poursuite pénale dans une ville virtuelle : même si un citoyen non inquiété dispose de données d’inscription valables, cela ne signifie pas pour autant qu’il peut se déplacer librement et accéder à n’importe quelle information sans autorisation d’accès correspondante.

Soutien à la mise en œuvre

Comme l’étude de cybersécurité 2020 d’IDG le prouve, le concept de confiance zéro améliore la sécurité du réseau et réduit les risques. Selon cette étude, il y a deux ans, plus de la moitié des responsables de la sécurité informatique interrogés étaient déjà en train ou sur le point d’introduire des solutions correspondantes. Près de 38 % d’entre eux avaient déjà terminé la mise en œuvre. Selon une étude d’Aberdeen, Zero Trust fait partie des cinq principales initiatives de cybersécurité financées cette année pour plus de 90 % des entreprises de 20 à 500 employés interrogées.

Toutefois, la mise en œuvre pratique du modèle ZeroTrust demande beaucoup d’efforts. Tout d’abord, l’entreprise doit déterminer quelles sont les applications, les appareils et les utilisateurs et comment ils doivent s’authentifier. Il s’agit ensuite de créer des cryptages, d’établir des procédures, de vérifier les droits d’accès existants et de les adapter si nécessaire.

D’autres conditions préalables à une mise en œuvre réussie sont une surveillance continue du trafic réseau ainsi qu’un inventaire des données qui se trouvent sur le réseau, où elles sont stockées et comment elles peuvent être suivies. Aux frontières du réseau et à l’intérieur du réseau, des systèmes doivent être mis en place pour analyser le trafic, valider chaque demande avant d’autoriser l’accès et enregistrer toutes les actions dans des fichiers journaux. En outre, les entreprises doivent connaître les rôles des utilisateurs finaux et adapter les droits d’accès : qui peut se connecter et où, qu’est-ce qui est autorisé et à qui ?

Certes, de nombreux outils modernes disposent déjà de fonctions Zero Trust dans les domaines de la gestion des identités, du contrôle d’accès, de l’authentification à deux facteurs, de la segmentation du réseau et de la gestion des politiques. Il est toutefois essentiel de mettre en œuvre les aspects du Zero Trust d’une manière globale, intégrée, évolutive et guidée par des politiques. Un bon fournisseur peut aider à identifier les éléments qui sont les plus faciles à protéger sans avoir à revoir complètement l’infrastructure existante de l’entreprise. Lors du choix d’une solution Zero Trust, les responsables devraient également veiller à ce que l’accès sécurisé pour les collaborateurs à distance et la protection des données sensibles soient garantis, tant localement que dans le cloud.

Les entreprises devraient également rendre le modèle Zero Trust aussi simple et convivial que possible afin de le rendre plus attrayant pour les employés. Les solutions modernes de Zero Trust s’occupent des structures de sécurité complexes en coulisses - donc invisibles pour l’utilisateur. Dans le cas idéal, l’architecture Zero Trust est déjà intégrée dans l’outil de sécurité. Une autre possibilité pour une meilleure acceptation consiste à supprimer les noms d’utilisateur et les mots de passe peu appréciés et d’utiliser à la place des certificats numériques et l’authentification multifactorielle.

Les critères les plus importants lors de l’évaluation des solutions Zero Trust sont la sécurité et la fiabilité. Cela vaut surtout pour les PME qui disposent de ressources informatiques limitées et dont les employés travaillent à distance. Dans ce cas, les criminels peuvent par exemple utiliser des outils d’assistance à distance pour introduire des logiciels malveillants dans les terminaux - en supposant que le système soit digne de confiance. Avec Zero Trust comme élément central d’un outil de support à distance, cela n’est pas possible.

Ce à quoi les entreprises doivent veiller lors de la mise en place d’une architecture Zero Trust :
- Identifier toutes les applications d’entreprise pertinentes telles que la messagerie électronique, les Cloud-Services, le VPN et les droits d’accès associés : Qui utilise quelle application ?
- Veillez à ce que la fiabilité soit toujours vérifiée de manière cohérente - à travers tous les services.
- Mettez en place une authentification multi-facteurs (MFA) afin de lutter contre l’utilisation abusive des données de connexion.
- Mettez en place une surveillance permanente de toutes les activités afin de détecter les connexions potentiellement dangereuses aux réseaux internes ou aux points finaux de l’entreprise.
- Protégez les terminaux utilisés pour accéder aux applications et aux réseaux de l’entreprise contre les logiciels malveillants. Une attention particulière doit être accordée aux appareils personnels qu’un employé peut partager avec d’autres membres de sa famille.




Voir les articles précédents

    

Voir les articles suivants