Historiquement, la plupart des organisations fonctionnaient selon un modèle de sécurité basé sur le périmètre. Tout ce qui se trouvait à l'intérieur du périmètre était considéré comme autorisé et bénin, tandis que les menaces étaient considérées comme provenant de l'extérieur de l'organisation. Des solutions de sécurité ont été déployées pour protéger le périmètre et empêcher les attaquants extérieurs de pénétrer à l'intérieur.
Cette approche de la sécurité posait de multiples problèmes. L'un d'entre eux est le risque d'intrusion de personnes malveillantes. D'autre part, les organisations manquent de visibilité sur les menaces qui accèdent à leur réseau. Troisièmement, l'essor du site cloud, du travail à distance et des appareils mobiles a entraîné la dissolution du périmètre.
La confiance zéro est un modèle de sécurité conçu pour surmonter les limites des anciennes stratégies de sécurité. Au lieu de faire implicitement confiance aux initiés et de se méfier des personnes extérieures, la confiance zéro adopte une approche de la sécurité fondée sur le principe "faire confiance mais vérifier".
En savoir plus Get the Miercom Zero Trust Platform Assessment 2024
Avec les anciennes stratégies de sécurité, la plupart des vérifications auraient pu avoir lieu en amont. Une fois que l'utilisateur a prouvé son identité, il peut accéder librement au réseau, aux systèmes et au site application de l'entreprise.
La confiance zéro consiste à prendre des décisions d'accès au cas par cas. Chaque utilisateur, application, ordinateur, etc. se voit attribuer le minimum d'accès et d'autorisations nécessaires pour remplir son rôle. Lorsqu'ils font une demande d'accès, le système de confiance zéro compare les autorisations qui leur ont été attribuées avec celles qui sont nécessaires pour répondre à leur demande et autorise ou bloque la demande en conséquence.
La confiance zéro a gagné en popularité en tant que stratégie de sécurité en raison des nombreux avantages qu'elle offre à une organisation. Parmi les principaux avantages de la mise en œuvre d'une stratégie de sécurité "zéro confiance" figurent la sécurité, la visibilité et la conformité.
Une politique de sécurité fondée sur la confiance zéro exige que chaque demande d'accès soit évaluée sur la base des contrôles d'accès au moindre privilège. Cela permet de s'assurer que le demandeur dispose des privilèges nécessaires pour accéder au système demandé ou pour effectuer l'action demandée.
La confiance zéro contribue à renforcer la sécurité d'une organisation car elle réduit les risques potentiels liés aux autorisations excessives et à la capacité des attaquants à se déplacer latéralement dans le réseau. Si les privilèges d'un utilisateur sont étroitement limités, les dommages qu'il peut causer sont limités. En outre, en imposant que toutes les demandes d'accès soient évaluées sur la base des contrôles d'accès au moindre privilège, il est plus difficile pour un pirate de se déplacer latéralement dans les systèmes de l'organisation et d'atteindre son objectif sans que sa présence ne soit détectée.
Dans une architecture de sécurité traditionnelle, axée sur le périmètre, les solutions de sécurité d'une organisation sont concentrées sur le périmètre du réseau. Si cela permet de limiter le nombre de menaces externes qui peuvent pénétrer dans une organisation, cela signifie également que l'entreprise a une visibilité limitée sur ce qui se passe à l'intérieur du périmètre du réseau. Si une menace ne franchit pas la frontière du réseau, elle peut être invisible pour l'appareil de sécurité d'une organisation.
Le modèle de sécurité "zéro confiance" déplace la frontière de sécurité autour de chaque application ou système. Comme chaque demande d'accès doit être approuvée ou refusée, l'organisation dispose d'une visibilité beaucoup plus grande sur les actions effectuées au sein de son réseau.
Cette visibilité accrue a de nombreuses implications pour l'entreprise, qui ne se limitent pas aux avantages en matière de sécurité. Par exemple, une visibilité approfondie des demandes, des appels d'API ou des flux de trafic peut contribuer à la conception de l'infrastructure informatique de l'organisation. application qui communiquent couramment peuvent être rapprochés pour minimiser la latence, ou une organisation peut procéder à la mise à niveau de certains systèmes et composants pour améliorer les performances.
Les entreprises sont soumises à un éventail de plus en plus large d'obligations en matière de conformité. En fonction des lieux où elle opère et des types de données qu'elle collecte et traite, une organisation peut être soumise à diverses lois spécifiques à un lieu - telles que GDPR, CCPA, etc. - et à des réglementations conçues pour protéger certains types d'informations sensibles - telles que PCI DSS ou HIPAA.
Souvent, l'objectif premier de ces réglementations est de s'assurer qu'une organisation protège et gère de manière appropriée l'accès à certains types de données sensibles. Les entreprises démontrent leur conformité en mettant en œuvre des contrôles de sécurité spécifiques et en démontrant que seuls les utilisateurs autorisés peuvent accéder aux données protégées.
Avec une politique de sécurité "zéro confiance", une organisation a une visibilité sur chaque demande d'accès à des données potentiellement sensibles. Cela peut s'avérer très utile pour obtenir et démontrer la conformité. Les contrôles d'accès à moindre privilège peuvent détecter et bloquer les tentatives d'accès non autorisées à ces données, et des journaux d'accès détaillés peuvent être fournis aux auditeurs et aux autorités de réglementation en cas de besoin, afin de démontrer qu'aucun accès non autorisé n'a eu lieu.
Le modèle de sécurité "zéro confiance" s'articule autour d'un ensemble de principes fondamentaux. Voici quelques-uns des principaux principes et outils de mise en œuvre de la sécurité "zéro confiance" :
Une architecture de confiance zéro met en pratique les principes de la confiance zéro. Il utilise les technologies suivantes pour garantir que les demandes d'accès sont évaluées au cas par cas :
Il peut sembler complexe de passer des modèles de sécurité traditionnels, axés sur le périmètre, à la confiance zéro. Cependant, les organisations peuvent réaliser ce changement en suivant les étapes suivantes :
Après avoir conçu une stratégie de sécurité "zéro confiance", une organisation doit la mettre en œuvre. Voici quelques bonnes pratiques pour mettre en œuvre la confiance zéro:
Un modèle de sécurité sans confiance n'est efficace que si une organisation peut réellement le mettre en œuvre. Si les attaquants peuvent contourner les contrôles d'accès au moindre privilège, ils n'offrent aucune protection réelle à l'organisation et à ses actifs informatiques. L'étape suivante consistera à identifier les lacunes entre l'architecture de sécurité existante d'une organisation et une architecture de confiance zéro efficace, et à identifier des solutions de confiance zéro pour combler ces lacunes.
Pour identifier la maturité Zero Trust existante de votre organisation dans le cadre des services Infinity Global Cybersécurité fournis par Check Point Software. Découvrez ensuite comment combler ces lacunes pour votre personnel à distance dans ce guide de l'acheteur de ZTNA.