À l’ère du télétravail, l’approche traditionnelle de sécurité périmétrique autour du data center – gardé comme un château fort – ne présente pas les meilleures garanties de sécurité et devient totalement obsolète. Une protection Zero Trust native du cloud fournit une plateforme de services modulables, et offre l’agilité et la sécurité dont les organisations ont besoin.
Le cloud et la mobilité ont agi comme des catalyseurs sur la transformation numérique, mais c’est la pandémie qui lui a donnée un véritable coup d’accélérateur. Du jour au lendemain, des employés en télétravail ont commencé à accéder aux actifs informatiques de l’entreprise à partir de toutes sortes de terminaux, au grand dam des personnels chargés de la cybersécurité. Cette mutation ainsi que la multiplication des attaques dans le sillage du premier confinement, ont mis les équipes de sécurité informatique sous pression pour sécuriser les accès. La traditionnelle protection périmétrique, les architectures et les processus coutumiers, ont vite atteint leurs limites, nécessitant une approche plus granulaire de la cybersécurité et des accès.
La protection périmétrique traditionnelle ayant montré ses limites, les DSI et les RSSI, ainsi que leurs équipes, se sont mis dans l’urgence à la recherche de la meilleure parade possible. Beaucoup ont opté pour le VPN qui est apparu comme la solution la plus rapidement utilisable, mais cette solution a ses limites. Le problème du VPN est qu’il donne accès à un réseau complet, avec ses applications, ses données et ses serveurs. Une fois dans la place, une personne malveillante pourrait par un mouvement latéral infecter le réseau en implantant des rançongiciels et des maliciels. Quand vous donnez accès à un réseau, la surface d’attaque, c’est le réseau.
L’authentification aux points d’entrée ne suffit pas
C’est ainsi que les équipes informatiques se sont tournées vers la sécurité Zero Trust, qui est apparue comme une réponse appropriée et fiable pour assurer les contrôles aux accès du réseau. Chaque utilisateur étant une potentielle faille de sécurité, il devra dûment s’authentifier à chacun des accès auquel il se présentera. Cependant, l’authentification à l’entrée est la partie la plus visible d’une politique Zero Trust, mais elle ne résume pas tout ce qu’implique une véritable politique Zero Trust. Le véritable Zero Trust repose sur une approche SASE (Secure Access Service Edge) bien plus stricte que la simple authentification aux points d’entrée.
Pour bien appréhender le Zero Trust du modèle SASE, il faut une approche spécifique. C’est-à-dire qu’on ne peut pas concevoir cette politique comme une continuation de la protection périmétrique. Il faut plutôt une approche originale full cloud pour éviter d’empiler des couches les unes sur les autres et finir avec un SI trop complexe à protéger et maintenir. Avec la plateforme Zero trust Exchange, Zscaler propose une approche multiniveaux et segmentée de la protection. C’est une offre modulaire qui combine les avantages des modèles Zero Trust et SASE, entièrement conçue par et pour le cloud.
Connecter l’utilisateur à une application, pas au réseau
Contrairement aux VPN et aux pare-feu traditionnels, Zero Trust Exchange connecte l’utilisateur directement à une application, et non à un réseau, ce qui est essentiel pour offrir une expérience rapide. Les connexions directes éliminent la nécessité de faire transiter le trafic par des contrôles de sécurité centralisés qui ajoutent de la latence. Une fois que l’utilisateur est connecté, les applications et les données auxquelles il peut accéder sont strictement limitées, y compris à l’intérieur d’une même application.
De même, l’utilisateur n’aura pas accès à certaines informations sur l’environnement réseau, comme les adresses IP, les périphériques, les imprimantes ou les objets connectés, visibles sur le réseau. En somme, il se retrouve dans un périmètre numérique délimité qui empêche tout mouvement latéral. La plateforme Zero Trust Exchange propose également des outils de cyberdéfense conventionnels. Elle scanne l’ensemble des données en transit pour détecter et stopper les actions malveillantes comme la fuite de données ou la circulation de maliciels par exemple.
La technologie Zscaler fonctionne comme un réseau sécurisé, avec une authentification et le routage du trafic via une infrastructure cloud déployée et gérée par Zscaler. Aujourd’hui, Zscaler s’appuie sur 150 data centers (points de présence) dans le monde - afin que l’utilisateur puisse se connecter toujours au plus près du lieu où il travaille – traite par jour +150 milliards de requêtes et stoppe +100 millions de menaces.
Par Didier Schreiber, Directeur marketing Europe de Sud chez Zscaler