L’intérêt pour l’utilisation des concepts de confiance zéro afin de renforcer la sécurité a augmenté alors que de plus en plus d’organisations soutiennent les initiatives de « travail en tout lieu ». La sécurité doit être la même partout et les solutions doivent pouvoir s’adapter à différents modèles de travail. Elle doit être transparente, afin que les entreprises n’aient pas une option qui fonctionne bien pour les travailleurs à distance et une autre pour les travailleurs au bureau. Les solutions doivent être suffisamment souples pour répondre en toute sécurité à tous les scénarios de travail avec une politique, une protection et une gestion cohérentes pour les utilisateurs distants, les succursales, le cloud et les centres de données.
Le modèle de sécurité réseau à confiance zéro (Zero Trust) réduit la surface d’attaque tout en offrant un accès sécurisé aux applications et un contrôle d’accès dynamique. Et la stratégie la plus efficace est une approche holistique qui offre une visibilité et un contrôle de tous les utilisateurs et appareils sur et hors du réseau.
Renforcer sa sécurité avec le Zero Trust
Voici trois conseils pour renforcer la sécurité avec la confiance zéro.
1. Découvrir et identifier les appareils
Avec le modèle de sécurité Zero Trust, vous devez savoir qui et ce qui se trouve sur le réseau à tout moment. La première étape consiste donc à utiliser le contrôle d’accès au réseau (NAC) pour découvrir et identifier chaque appareil qui se trouve sur le réseau ou qui cherche à y accéder, et s’assurer qu’il n’a pas déjà été compromis.
Les appareils accédant aux réseaux peuvent inclure des appareils de bureau et mobiles de l’utilisateur final, des équipements de bureau en réseau, des systèmes de point de vente au détail, des technologies opérationnelles, ainsi que de nombreux capteurs distribués et autres appareils connus collectivement sous le nom d’Internet des objets (IoT). Le défi de la gestion de tous ces appareils réside dans leur grande dispersion, les différents niveaux de supervision des appareils et le manque de prise en charge des protocoles de communication standard dans les appareils anciens.
Au cours du processus de découverte, la solution NAC doit détecter les tentatives d’attaque par contournement d’authentification MAC (MAB) et consigner ces incidents. Elle doit également partager les informations qu’elle collecte en temps réel avec d’autres périphériques réseau et composants de l’infrastructure de sécurité.
Les processus NAC doivent être réalisés en quelques secondes afin de minimiser le risque de compromission du dispositif. Idéalement, une solution NAC doit être facile à déployer à partir d’un emplacement central et offrir un fonctionnement cohérent sur les réseaux câblés et sans fil. Grâce à l’emplacement central, la solution NAC ne nécessitera pas de capteurs à chaque emplacement de dispositif, ce qui peut augmenter les coûts de déploiement et de gestion.
2. Segmenter le réseau
La microsegmentation est un autre élément clé de la confiance zéro. Avec la micro-segmentation du réseau, chaque appareil est affecté à une zone appropriée du réseau en fonction d’un certain nombre de facteurs, notamment le type d’appareil, sa fonction et son objectif au sein du réseau. Et la segmentation basée sur l’intention peut segmenter intelligemment les appareils en fonction d’objectifs commerciaux spécifiques, tels que les exigences de conformité comme les lois sur la confidentialité GDPR ou la protection des transactions PCI-DSS.
La microsegmentation renforce le réseau de deux manières. Premièrement, elle brise le chemin latéral (est-ouest) à travers le réseau, ce qui rend plus difficile l’accès des pirates et des vers aux appareils. Deuxièmement, il réduit le risque qu’un pirate utilise un appareil infecté comme vecteur pour attaquer le reste du réseau.
Les pare-feu de nouvelle génération (NGFW) utilisés pour la microsegmentation doivent être conçus de manière à pouvoir traiter tout le trafic intersectoriel avec une latence minimale. En évitant les problèmes de latence, on s’assure que le renforcement de la sécurité n’entrave pas la productivité de l’entreprise.
Mieux encore, un pare-feu capable de gérer à la fois l’accès réseau à confiance zéro et le SD-WAN.
3. Identifier les utilisateurs et les rôles
L’identité des utilisateurs est une autre pierre angulaire de la confiance zéro. Comme les appareils, chaque utilisateur doit être identifié, ainsi que le rôle qu’il joue au sein de l’organisation. Le modèle de confiance zéro se concentre sur une « politique de moindre accès » qui n’accorde à un utilisateur que l’accès aux ressources nécessaires à son rôle ou à son travail. Et l’accès à des ressources supplémentaires n’est accordé qu’au cas par cas.
Les solutions d’authentification et d’autorisation doivent être intégrées à l’infrastructure de sécurité du réseau de l’entreprise et à une base de données Active Directory basée sur des règles, afin de permettre une application automatisée et une gestion facile des politiques d’accès au moindre privilège.
À ce stade, chaque organisation devrait utiliser l’authentification multifactorielle. Si ce n’est pas le cas, il s’agit d’un domaine clé à améliorer. Les services d’authentification, d’autorisation et de compte (AAA), la gestion des accès et l’authentification unique (SSO) sont utilisés pour identifier et appliquer des politiques d’accès appropriées aux utilisateurs en fonction de leur rôle dans l’organisation. L’identité de l’utilisateur peut être authentifiée par le biais d’une connexion utilisateur, d’une entrée multifactorielle (mot de passe ou authentification sans mot de passe) ou de certificats, puis liée au contrôle d’accès basé sur les rôles (RBAC) afin d’associer un utilisateur authentifié à des droits d’accès et des services spécifiques. La sécurité ne doit pas entraver la productivité. Les solutions doivent donc fonctionner avec une latence minimale pour faciliter la conformité et minimiser la fatigue des utilisateurs.
Apporter des améliorations au fil du temps avec le Zero Trust
De nombreuses organisations qui adoptent une approche fragmentaire de la confiance zéro s’enlisent dans la technologie et se noient dans la complexité. Lorsque des produits proviennent de plusieurs fournisseurs, vous pouvez facilement vous retrouver avec plusieurs tableaux de bord et des intégrations difficiles qui peuvent ou non fonctionner avec les systèmes dont vous disposez déjà. Mais il y a toujours plus à faire pour améliorer la sécurité grâce aux concepts de Zero Trust.
Au lieu d’adopter une approche fragmentaire de la confiance zéro qui peut laisser des failles de sécurité et s’avérer coûteuse et lourde à gérer, il est plus facile de déployer, configurer et maintenir des solutions intégrées par conception.
La clé d’une intégration réussie des concepts de confiance zéro est de procéder étape par étape. De nombreuses organisations ont déjà intégré certains éléments de la stratégie Zero Trust. Elles peuvent avoir mis en place des solutions qui limitent l’accès aux applications ou disposent d’une authentification multifactorielle. Une bonne façon de commencer est d’améliorer l’existant, puis d’ajouter des capacités de confiance zéro au fil du temps.