La nouvelle réalité pour les ingénieurs IT et DevOps est définie par le cloud, la mobilité et les exigences croissantes en matière d’agilité. Dans ce nouveau paysage, le modèle de sécurité traditionnel « basé sur le périmètre » ne vieillit pas bien et les outils d’accès binaire tels que les VPN, les pare-feu et les serveurs de saut s’avèrent encombrants et non évolutifs.
Les environnements de travail ne sont plus régis par des périmètres fixes. Les utilisateurs travaillent à partir de leur propre appareil et les données sensibles de l’entreprise sont stockées dans des services cloud tiers. Les entreprises ne peuvent plus se fier à des modèles de sécurité binaires qui visent à laisser entrer les bons et à empêcher les méchants d'entrer. Pour les entreprises modernes, le défi est de donner aux utilisateurs l'accès dont ils ont besoin tout en réduisant les coûts de configuration et de maintenance et sans compromettre la sécurité.
Téléchargez le guide de la confiance zéro Obtenez le rapport Forrester Zero Trust Wave
Zero Trust Security n'est pas un produit, c'est un processus. Vous trouverez ci-dessous six bonnes pratiques que les organisations doivent suivre pour passer à une sécurité Zero Trust.
Vérifier tous les utilisateurs à l’aide de l’authentification multi-facteurs (MFA)
On dit souvent que Zero Trust est ancré dans le principe « ne jamais faire confiance, toujours vérifier ». Mais, correctement mis en œuvre, est-il plus juste de dire que Zero Trust est ancré dans le principe « ne jamais faire confiance, toujours vérifier et revérifier ».
L'époque où un nom d'utilisateur et un mot de passe suffisaient à valider l'identité d'un utilisateur est révolue. Aujourd’hui, ces identifiants doivent être renforcés à l’aide de l’authentification multi-facteurs (MFA). Les facteurs d'authentification supplémentaires peuvent être l'un ou plusieurs des facteurs suivants :
Lors de la mise en œuvre d’une architecture Zero Trust, l’identité de chaque utilisateur accédant à votre réseau (utilisateur privilégié, utilisateur final, clients, partenaires...) doit être vérifiée à l’aide de plusieurs facteurs. Et ces facteurs peuvent être ajustés en fonction de la sensibilité des données/ressources consultées.
Vérifier vos utilisateurs est nécessaire mais ce n'est pas suffisant. Les principes du Zero Trust s’appliquent également à l’appareil postal. La vérification de l’appareil consiste à s’assurer que tout appareil utilisé pour accéder à vos ressources internes répond aux exigences de sécurité de votre entreprise. Recherchez une solution qui vous permet de suivre et d’appliquer l’état de tous les appareils avec une intégration et une désintégration faciles de l’utilisateur.
Le principe du moindre privilège (PolP) détermine ce à quoi vous pouvez accéder dans un environnement Zero Trust. Il est basé sur l'idée qu'un utilisateur en particulier ne devrait bénéficier que de suffisamment de privilèges pour lui permettre d'effectuer une tâche en particulier.
Par exemple, un ingénieur qui s'occupe uniquement de mettre à jour des lignes de code héritées n'a pas besoin d'accéder aux dossiers financiers. Le PolP permet de limiter les dommages potentiels en cas de compromission de sécurité.
L'accès au moindre privilège peut également être étendu pour inclure un accès privilégié « juste à temps ». Ce type d'accès limite les privilèges aux seuls moments précis où ils sont nécessaires. Cela inclut l'expiration des privilèges et les informations d'identification à usage unique.
Outre l’authentification et l’attribution de privilèges, vous devez également surveiller et examiner toute l’activité des utilisateurs sur le réseau. Cela permettra d'identifier toute activité suspecte en temps réel. La visibilité est particulièrement importante pour les utilisateurs qui ont des droits administratifs en raison de l'étendue de leurs autorisations d'accès et de la sensibilité des données qu'ils peuvent accéder.
Utilisez des contrôles basés sur des attributs pour autoriser l’accès aux ressources de votre pile de sécurité, qu’il s’agisse d’applications cloud et sur site, d’API, de données ou d’infrastructure. Cela permettra à l'administrateur d'ajuster et de faire appliquer facilement les politiques d'accès afin de bloquer les événements suspects en temps réel.
Ne laissez pas le parfait être l'ennemi du bien. Mettre en œuvre la stratégie Zero Trust parfaite que vos utilisateurs finaux détestent utiliser n'est pas une très bonne stratégie. Vous, les utilisateurs finaux, voulez juste travailler. Envisagez une stratégie et des produits qui créent l’expérience la plus fluide et la plus proche d’un modèle SaaS pour votre équipe.