Qu'est-ce que le Zero Trust ?
Le modèle de sécurité « zero trust » a été créé pour les architectes de solutions de cybersécurité, les intégrateurs de systèmes et les équipes DevOps afin d'intégrer des capacités de cybersécurité essentielles dans un environnement informatique omniprésent qui facilite la planification et la prise de décision en matière de cybersécurité.
Avant : faire confiance à tout le monde à l'intérieur du périmètre du réseau
Traditionnellement, les entreprises utilisaient le modèle du « château entouré de douves » pour assurer la sécurité de leur réseau. Tous les utilisateurs et équipements situés à l'intérieur du périmètre du réseau étaient fiables par défaut, ce qui signifie qu'ils n'avaient pas besoin d'être authentifiés avant d'accéder aux ressources de l'entreprise. Seuls les utilisateurs et les dispositifs situés à l'extérieur du périmètre du réseau devaient s'authentifier. Ce cadre était logique lorsque la quasi-totalité des employés et des équipements se trouvaient dans les limites d'un immeuble de bureaux, ce qui garantissait un périmètre réseau clairement défini.
Même avant la pandémie de COVID-19, l'informatique sur le cloud et la mobilité ont ébranlé le concept de « périmètre réseau ». Les conséquences des confinements dus à la pandémie l'ont complètement détruit. Afin d'autoriser l'accès à tous leurs employés à distance, les entreprises ont été contraintes d'accélérer leurs plans de transformation numérique de plusieurs mois ou années. Cela signifie que le nombre de points de terminaison, de sites Web, de systèmes, de bases de données et d'applications nécessitant une authentification et un chiffrement de bout en bout s'est multiplié de manière exponentielle.
Les administrateurs informatiques ont tenté d'adapter des solutions disparates conçues pour des infrastructures sur site homogènes à des environnements hétérogènes basés sur le cloud, mais il leur a été impossible d'obtenir une visibilité, une sécurité et un contrôle complets des réseaux et des points de terminaison. Le modèle du château entouré de douves s'est effondré et les cyberattaques ont explosé, les acteurs de la menace profitant des défenses de sécurité insuffisantes des entreprises.
Aujourd'hui : ne faire confiance à personne
Contrairement au modèle du « château entouré de douves », le modèle zero trust ne fait confiance à aucun utilisateur ou dispositif humain, quel que soit l'endroit où il se trouve. Dans un environnement de zero trust, tous les utilisateurs et dispositifs doivent être authentifiés avant de pouvoir accéder aux ressources de l'entreprise. Au lieu de se fier à l'endroit où se trouvent les utilisateurs, le modèle zero trust les oblige à prouver leur identité.
Mis en place correctement, l'accès réseau zero trust offre aux administrateurs informatiques une visibilité totale sur tous les utilisateurs, systèmes et dispositifs. Les personnes, les applications et les services peuvent communiquer en toute sécurité, même dans des environnements réseau différents. Peu importe que les utilisateurs se connectent depuis leur domicile, un hôtel, un café ou un aéroport, ou même qu'ils utilisent leurs propres dispositifs. Les administrateurs peuvent voir exactement qui se connecte au réseau, d'où il vient et ce à quoi il accède. Les utilisateurs ne peuvent pas se connecter tant qu'ils n'ont pas prouvé explicitement qu'ils sont bien ceux qu'ils prétendent être.
Trois principes fondamentaux sont au cœur de la sécurité zero trust :
Présumer la violation.
Tout être humain ou appareil peut potentiellement être compromis, même s'il se connecte depuis son bureau, c'est pourquoi le deuxième principe directeur dit de…
Effectuer une vérification explicite.
Tous les humains et toutes les machines doivent prouver qu'ils sont bien ceux qu'ils prétendent être avant de pouvoir accéder aux ressources du réseau. Et ce n'est pas tout…
Garantir l'accès selon le principe de moindre privilège.
Même une fois qu'un utilisateur a fait l'objet d'une vérification explicite, il ne doit disposer que du minimum d'accès au réseau dont il a besoin pour accomplir son travail, pas un iota de plus.
Les 6 piliers de la sécurité zero trust
Microsoft recommande de planifier votre mise en place de la politique de zero trust autour des six piliers suivants, qui doivent tous être évalués, puis mis à jour ou remplacés en conséquence.3
Identité
Dans un modèle de zero trust, chaque utilisateur, humain ou machine, doit posséder une identité numérique unique. Chaque fois que cette identité demande l'accès à une ressource, le système doit la vérifier par une authentification forte, étayée par une analyse comportementale pour s'assurer que la demande d'accès n'est pas anormale pour cet utilisateur. Une fois l'identité authentifiée, son accès au réseau doit suivre les principes du moindre privilège.
Pour y parvenir, assurez-vous que tous vos utilisateurs utilisent des mots de passe forts et uniques pour chaque compte et qu'ils activent l'authentification multifacteur (MFA) lorsqu'elle est prise en charge. Déployez également des solutions de détection en temps réel, de remédiation automatisée et d'intelligence connectée pour surveiller la compromission des comptes et réagir aux problèmes potentiels.
Points de terminaison
Seuls les applications et les appareils conformes et fiables doivent être autorisés à accéder aux données. Avant d'autoriser les employés à accéder aux applications de l'entreprise sur des appareils mobiles, exigez d'eux qu'ils inscrivent leurs appareils à la gestion des appareils mobiles (MDM) et faites-en valider la santé générale et la conformité aux politiques de sécurité de l'entreprise. Les solutions MDM offrent également aux administrateurs une visibilité sur la santé et la conformité des appareils et la possibilité d'appliquer des politiques et des contrôles de sécurité, tels que le blocage du copier/coller ou du téléchargement/transfert.
Dans les environnements actuels basés sur le cloud, les données sont partout, et elles doivent être régies partout où elles se trouvent. Cela implique de contrôler et de limiter strictement l'accès aux données selon les principes du moindre privilège et de veiller à ce que les données soient chiffrées au repos et en transit.
Données
Dans les environnements actuels basés sur le cloud, les données sont partout, et elles doivent être régies partout où elles se trouvent. Cela implique de contrôler et de limiter strictement l'accès aux données selon les principes du moindre privilège et de veiller à ce que les données soient chiffrées au repos et en transit.
Applications
L'accès et les privilèges des applications doivent être contrôlés et limités aussi rigoureusement que les données. Bloquez l'accès aux applications, surveillez leur utilisation pour détecter les comportements anormaux et utilisez le contrôle d'accès basé sur les rôles (RBAC) pour vous assurer que les autorisations des utilisateurs dans les applications sont appropriées et respectent les principes du moindre privilège.
Infrastructure
La gestion des autorisations pour l'infrastructure sur site et les VM, conteneurs et microservices basés sur le cloud peut s'avérer difficile. Automatisez autant de processus que possible. Utilisez l'accès juste-à-temps (JIT) pour renforcer les défenses, déployez des analyses de sécurité pour détecter les anomalies et les attaques et bloquez et signalez automatiquement les comportements à risque pour une enquête plus approfondie et des mesures correctives.
Réseau
Segmentez les réseaux pour empêcher les acteurs de la menace de se déplacer latéralement et d'accéder aux ressources sensibles. Utilisez des contrôles de sécurité réseau « in-pipe » pour améliorer la visibilité, notamment des outils de protection contre les menaces en temps réel, le chiffrement de bout en bout, la surveillance et l'analyse.
Meilleures pratiques pour le déploiement d'une architecture zero trust
L'un des plus grands défis de la mise en place du zero trust est de savoir par où commencer. Le principe de zero trust comporte de nombreux éléments mobiles, et il n'existe pas de normes universelles de mise en place de zero trust. Voici quelques bonnes pratiques pour tracer le parcours de zero trust de votre entreprise.
Prenez conscience du fait que le zero trust est un engagement à long terme, et non une solution ponctuelle.
La technologie, les flux de travail et l'environnement des menaces évoluent et changent, tout comme votre architecture zero trust.
Vérifiez que vous avez le soutien de la direction.
Le zero trust suppose un état d'esprit « tout ou rien » et un engagement ferme de la part de tous les niveaux de direction et des équipes. Le soutien de la direction était un élément commun aux "champions" de la CRA, tandis que le manque de soutien était le principal obstacle cité par les entreprises qui continuent à lutter pour adopter le zero trust.4
Commencez doucement.
Pour éviter toute interruption de l'activité, le NIST recommande de commencer le déploiement d'un système zero trust en migrant d'abord les ressources commerciales à faible risque, puis de passer aux ressources plus critiques une fois que votre équipe a acquis une plus grande expérience du zero trust.5
En cas de doute, concentrez-vous d'abord et avant tout sur IAM.
Parmi les « champions » de zero trust de CRA, la gestion des identités et des accès (IAM) était la composante de zero trust la plus fréquemment mise en place, 86 % ayant appliqué des stratégies de zero trust à leurs processus et contrôles IAM.6
Meilleures pratiques pour le choix de solutions zero trust
Certains qualifient la confiance zéro de paradigme, d'autres de philosophie, de cadre, de modèle ou même de mouvement. Quel que soit le nom qu'on lui donne, l'essentiel est que l'objectif final du modèle de zero trust n'est pas de déployer des produits spécifiques mais d'obtenir les résultats souhaités. À cet égard, le zero trust est à la cybersécurité ce que DevOps est au développement de logiciels : un changement fondamental dans la façon dont les entreprises abordent la sécurité.
Il existe de nombreuses solutions compatibles avec la notion de zero trust sur le marché, mais toutes ne sont pas adaptées à votre environnement de données et à vos besoins commerciaux spécifiques. Le NIST7 recommande de prendre en compte les éléments suivants lors du choix des outils de zero trust :
La solution nécessite-t-elle l'installation de composants sur le poste client ?
Les solutions côté client peuvent limiter les processus métier et entraver la productivité. Elles entraînent également des frais administratifs supplémentaires pour votre équipe informatique.
La solution fonctionne-t-elle dans les cas où les ressources de processus métier se trouvent sur place ?
Certaines solutions partent du principe que les ressources demandées se trouvent dans le cloud (trafic nord-sud) et non dans le périmètre de l'entreprise (trafic est-ouest). Cela pose un problème dans les environnements de clouds hybrides, où les anciennes applications métier qui exécutent des fonctions critiques peuvent être exécutées en local parce qu'il n'est pas possible de les migrer vers le cloud.
La solution permet-elle d'enregistrer les interactions à des fins d'analyse ?
Les décisions relatives à l'accès zero trust dépendent fortement de la collecte et de l'utilisation de données liées au flux de processus, en particulier pour les comptes d'accès privilégiés.
La solution offre-t-elle une prise en charge étendue de différentes applications, services et protocoles ?
Certaines solutions peuvent prendre en charge un large éventail de protocoles (SSH, web, etc.) et de transports (IPv4 et IPv6), mais d'autres peuvent ne fonctionner qu'avec le web ou le courrier électronique.
La solution nécessite-t-elle de modifier le comportement du sujet ?
Certaines solutions peuvent nécessiter des étapes supplémentaires pour exécuter un flux de travail donné, ce qui pourrait obliger votre entreprise à modifier ses flux de travail existants.
Comment Keeper peut aider votre entreprise à adopter le modèle zero trust ?
La suite de cybersécurité zero trust, zero knowledge de Keeper permet aux entreprises d'adopter un accès distant zero trust pour leur personnel distribué, avec une authentification forte, une visibilité et un contrôle granulaires. En unifiant la Gestion des mots de passe en entreprise (EPM), la Gestion des secrets (SM) et la Gestion des connexions privilégiées (PCM), Keeper fournit aux administrateurs informatiques et aux équipes de sécurité un écran unique et omniprésent pour suivre, enregistrer, surveiller et sécuriser chaque utilisateur sur chaque appareil depuis n'importe quel endroit, alors qu'ils interagissent avec tous les sites, systèmes et applications autorisés.
- La plateforme de gestion des mots de passe en entreprise de Keeper offre aux entreprises la visibilité et le contrôle total sur les pratiques des employés en matière de mots de passe dont elles ont besoin pour mettre en place un modèle de sécurité zero trust de manière efficace. Les administrateurs informatiques peuvent surveiller et contrôler l'utilisation des mots de passe dans toute l'entreprise et appliquer des politiques et des contrôles de sécurité, tels que l'authentification multifactorielle, le RBAC et l'accès au moindre privilège.
- Le gestionnaire de secrets Keeper fournit aux équipes de DevOps, de sécurité informatique et de développement de logiciels une plateforme basée sur le cloud pour gérer tous les secrets de votre infrastructure, des clés SSH et API aux mots de passe des bases de données et aux identifiants RDP. Tous les serveurs, les pipelines CI/CD, les environnements de développement et le code source tirent des secrets d'un point de terminaison API sécurisé. Chaque secret est chiffré avec une clé AES de 256 bits, puis à nouveau chiffré par une autre clé d'application AES-256. Le dispositif client récupère le texte chiffré dans le cloud Keeper, et les secrets sont déchiffrés localement sur le dispositif, et non sur le serveur.
- Le gestionnaire de connexion Keeper est une passerelle de bureau à distance sans agent qui fournit aux équipes DevOps et informatiques un accès réseau zero trust (ZTNA) simple aux terminaux RDP, SSH, bases de données et Kubernetes via un navigateur web. Tous les utilisateurs et appareils sont fortement authentifiés avant d'être autorisés à accéder aux ressources de l'entreprise.
