L’approche de l’architecture ZT part du principe qu’aucun utilisateur, connexion ou actif n’est fiable, jusqu’à ce qu’il ait été vérifié. Inversement, le paradigme de sécurité de périmètre traditionnelle fait confiance aux connexions, une fois authentifiées, et leur accorde un accès à tout le réseau, laissant les actifs de l’entreprise potentiellement accessibles aux cybercriminels. À la fois transformateurs et chronophages, les projets ZT s’appuient sur l’architecture existante et la modifient.
L’architecture ZT est un concept en évolution qui, pour le moment, ne fait l’objet d'aucune certification ni norme pratique. De nombreuses entreprises s'appuient sur des certifications telles que la conformité ISO (International Organization for Standardization). L’absence de paramètres bien définis, dans le cadre du ZT, est source de confusion.
La confusion est davantage renforcée par le fait que certains fournisseurs désignent un produit ou service comme une solution ZT complète, ignorant le principe de base selon lequel le ZT est une approche qui utilise des produits et services nouveaux et existants, mais ne réside pas en leur sein. Pire encore, beaucoup appliquent cette pratique de « zero trust washing » à des produits existants, même s’il leur manque des propriétés essentielles.
Différents cadres et approches de ZT sont disponibles. Le ZT est un concept, mais la base d’un cadre ZT a été définie par le NIST (National Institute of Standards and Technology) et par des sociétés d’analystes comme Gartner, Forrester, IDC et ESG.
Les sociétés d’analystes commencent à proposer des feuilles de route ainsi que de précieux conseils. les organisations peuvent trouver d’excellentes informations dans ces sources pour entamer leur parcours de ZT.
Le ZT commence par un ensemble de principes que chaque entreprise met en œuvre, en fonction de ses besoins en matière d'activité et de sécurité.
Un déploiement de ZT comprend différents composants. Il peut s'agir de services internes ou basés sur le cloud. N’oubliez pas que toute architecture ZT que vous mettez en œuvre se déploiera au fil du temps. Au cours de cette période, il est essentiel de former les parties prenantes à toutes les pièces et d’expliquer que le ZT est un effort continu, sans début ni fin clairement définis. Notez que lorsque les changements dans vos besoins IT et professionnels perturbent votre progression, vous pouvez optimiser l’impact de votre approche ZT en réévaluant votre architecture en continu.
Les experts soulignent qu’il n’existe pas d’approche unique en matière d’infrastructure ZT. Chaque entreprise, et donc chaque déploiement de ZT, est différent. De plus, l’infrastructure ZT est généralement implémentée au fil du temps dans une série de projets de modernisation d’infrastructure plus petits. Le modèle ZT idéal n’existe que rarement, voire jamais.
L’un des attributs du modèle ZT est sa nature dynamique. Le modèle ZT idéal d'aujourd’hui ne le sera donc peut-être pas demain.
Exemple de schéma issu du document du NIST, page 18. Composants du modèle Zero Trust.
Un certain nombre de sources de données fournissent des informations pour aider le moteur de politique à prendre des décisions sur les accès.
Les autres considérations essentielles incluent la hiérarchisation des composants au sein de votre architecture existante qui sont obsolètes, ainsi que ceux qui peuvent avoir un impact significatif. Un autre facteur clé consiste à se concentrer sur l’un des aspects les plus souvent négligés dans les premiers projets de ZT : la visibilité. Comme presque tous les adoptants précoces du ZT l’ont remarqué, on ne peut faire confiance qu’à ce que l’on voit.
La micro-segmentation est une technique viable, mais en l’absence d’un composant d’identité ZT solide, un investissement supplémentaire dans la segmentation diminue les retours du ZT.
Recherches associées
Articles associés