Il semble que ça grince aux entournures lorsqu’il s’agit d’appliquer les principes d’une stratégie Zéro confiance. Voici trois étapes clés tirées de l’expérience du fournisseur californien Illumio.

« Ne jamais faire confiance, toujours vérifier », cette mise en garde est la quintessence même de la philosophie Zéro confiance (Zero trust). Une stratégie de vérification systématique aux portes, numériques, d’accès aux systèmes et aux applications de l’entreprise. Elle résume le fait que la confiance est une prote dérobée, une vulnérabilité qui est systématiquement exploitée par les cybermalfaiteurs. Elle est d’autant plus vraie que l’antique sécurité périmétrique est en train de rendre ses derniers râles, agonisant suite à l’avènement de l’hybridation du SI, de la mobilité et du télétravail. Le temps des charges de travail contenues dans un périmètre, dont les entrées sont barrées par les anciens pare-feu pour prévenir les entrées par infraction est révolu.

Elle a laissé place à une complexité croissante, avec des charges de travail dynamiques se déplaçant dans les centres de données et les environnements multiclouds, des utilisateurs distants et leurs terminaux personnels. Pour pallier l’inadéquation du modèle de sécurité traditionnel, la stratégie Zéro confiance a le mérite de permettre une visibilité sur les communications et de restreindre le trafic entre les pointsterminaux, entre les utilisateurs distants et les applications, et les charges de travail dynamiques qui se déplacent à l’intérieur des centres de données et des environnements de cloud public.

Améliorer la sécurité Zéro confiance par la cartographie

« L’application des principes de confiance zéro vous donnera une plus grande visibilité et une compréhension complète de vos applications et de leurs interdépendances, avec un contrôle granulaire et une liste automatisée de toutes les communications entre les charges de travail pour réduire la surface d’attaque et améliorer votre posture de sécurité », explique Forrester dans son rapport The Forrester Wave : Zero Trust eXtendedEcosystem Platform Providers, Q3 2020.

D’après le spécialiste Californien Illumio, il existe trois étapes pratiques pour aider à mettre en œuvre rapidement une stratégie de sécurité globale Zéro confiance efficace.

1Découvrir

  • Voir comment vos utilisateurs, appareils et applications sont connectés est une première étape essentielle pour comprendre ce qui communique et ce qui ne devrait pas.
  • Utilisez une carte en temps réel pour voir tout ce qui se passe sur vos terminaux et dans les flux d’applications et identifier les systèmes et les applications critiques.
  • Cartographier les connexions des données sensibles entre les utilisateurs, les appareils, les réseaux, les charges de travail et les applications pour comprendre ce qui devrait être autorisé à communiquer sur la base du moindre privilège.
  • N’autoriser d’une source unique de « vérité » pour faciliter la collaboration et engager les acteurs du monde du business et des technologies de l’information dans la conception de microperimètres et de politiques de sécurité à confiance zéro.

2Définir 

  • Concevoir des contrôles de microsegmentation optimaux avec une création automatisée de politiques pour réduire les risques et la complexité du déploiement.
  • Définir et automatiser le bon niveau de contrôle de la segmentation Zéro confiance (de l’environnement à l’application) à travers les points finaux et le trafic est-ouest.
  • Identifier et cartographier la politique de segmentation basée sur l’exploitabilité des vulnérabilités et utiliser la segmentation comme une compensation du contrôle lorsque vous ne pouvez pas réparer.
  • Visualiser et tester les politiques avant leur mise en œuvre pour s’assurer que vous ne cassez pas les applications lors du provisionnement de la sécurité dans les applications natives du cloud.

3Appliquer

  • Activez une politique de refus par défaut qui est découplée de votre réseau pour appliquer des contrôles de confiance zéro efficaces, quels que soient vos points terminaux et vos charges de travail.
  • Utilisez une liste d’autorisations pour garantir que seules les connexions autorisées peuvent avoir lieu entre les utilisateurs, les appareils, les réseaux, les applications et les charges de travail.
  • Sécurisez les données en transit sans nécessiter de modifications ou de mise à niveau du réseau existant.
  • Surveillez et ajustez en permanence les politiques dynamiques de confiance zéro en fonction de l’évolution de votre environnement.
  • Intégrer en toute transparence des outils informatiques tiers pour orchestrer la confiance zéro adaptative dans votre environnement sur site et multicloud afin de réduire les silos de sécurité.