Le changement soudain et brutal imposé par le confinement a mis en évidence les failles des anciennes approches de la cybersécurité. Pour les employés-télétravailleurs qui accèdent aux infrastructures et aux applications, le modèle Zero trust offre de nombreux atouts.
L’adoption d’un modèle Zero trust, zéro confiance, est une odyssée exigeante qui nécessite une réflexion approfondie, une planification minutieuse et une exécution rigoureuse des différentes étapes de déploiement. C’est ce que pense, Shehzad Merchant, Chief Technology Officer chez Gigamon, l’entreprise fournissant une solution d’analyse de trafic et de surveillance des réseaux, des infrastructures (physiques, virtuelles et cloud), et des applications.
Ayant constaté que de nombreuses entreprises ont, par le passé, retardé les initiatives de transformation de leur modèle sécuritaire vers le Zero trust, le CTO de Gigamon estime que c’est le moment « de rationaliser et d’unifier l’infrastructure de sécurité des organisations n’a peut-être jamais été aussi urgent qu’aujourd’hui ». En effet, le champ de bataille du Covid-19 a été une occasion en or pour les entreprises de prendre conscience de l’urgence d’adapter son modèle à une nouvelle donne.
De l’entreprise distribuée à l’entreprise éclatée
L’entreprise qui était déjà distribuée dans un écosystème mondialisé, de chaines, de valeur et d’approvisionnement, et de services externalisés, se trouve à présent plus éclatée que jamais auparavant dans son histoire. En cause, un virus agressif et un confinement suivi de la mise au télétravail de millions de collaborateurs. Dans un tel paysage et face aux incertitudes de l’avenir, la protection périmétrique n’a plus de raison d’être. Le périmètre unifié d’antan ressemble à présent à une constellation de confettis mouvants, et un retour en arrière, aux anciennes structures, n’est plus envisageable.
La confiance zéro suppose qu’aucune confiance implicite n’est accordée aux actifs, c’est-à-dire aux utilisateurs, dispositifs et applications, sur la seule base de leur emplacement physique ou réseau. Selon Shehzad Merchant, les quatre principes clés qui sous-tendent la confiance zéro sont les suivants :
- identifier tous les actifs et leurs modèles d’accès et de communication,
- déployer et appliquer l’authentification, l’autorisation et le contrôle d’accès VERB à tous les actifs,
- chiffrer tous les flux de données, quel que soit l’emplacement du réseau,
- surveiller les flux de données et les actifs pour détecter les changements, les violations ou les anomalies.
Offrir une expérience unifiée indépendamment du lieu d’accès
L’objectif final est de disposer d’un cadre de sécurité unifié pour tous les actifs. Ce faisant, les équipes informatiques peuvent réduire la charge que représente la gestion d’infrastructures différentes pour les utilisateurs sur l’intranet et l’internet, offrir une expérience unifiée aux utilisateurs indépendamment du lieu d’accès et disposer d’un cadre de sécurité cohérent. Dans un monde où le lieu de travail évolue de plus en plus vers le modèle « je travaille de n’importe où », le passage à une architecture zéro confiance est tout simplement logique.
Le modèle zéro confiance nécessite une architecture ad hoc, « un engagement organisationnel » qui doit déboucher sur un réseau d’actifs « plus sûr, plus fiable et plus performant ». Il présente comme avantage de permettre, ou nécessiter, la rationalisation et l’unification de l’infrastructure de sécurité. Pour ce faire, il faut parcourir quelques étapes clés, estime Shehzad Merchant :
- Cartographier vos actifs. Exploitez des techniques non intrusives, telles que les métadonnées du réseau pour la visibilité, ainsi que des approches basées sur l’hôte et le point d’extrémité.
- Découvrez et comprenez les flux et les modèles de communication des actifs. Une fois de plus, la surveillance du trafic réseau constitue une excellente approche pour obtenir ces informations. Cela est important pour définir les bonnes politiques de contrôle d’accès. Ne pas intégrer cela peut entraîner une perturbation potentielle de l’activité.
- Mettez en œuvre des politiques d’authentification et de contrôle d’accès en fonction de vos découvertes. Pour les anciens appareils et applications qui ne peuvent pas être facilement authentifiés, isolez-les sur différents segments du réseau, puis surveillez et contrôlez tous les accès à ces appareils et applications.
- Déployez une stratégie de surveillance continue. Surveillez le trafic réseau, ainsi que les données des hôtes et points d’extrémité. Utilisez des outils capables de traiter ces données pour les analyser, ainsi que pour détecter les incidents et les violations de la politique.