Qu’est-ce que la gestion de réseau Zero Trust ?

Selon l'approche essentielle du Zero Trust (ZT) concernant la gestion de réseau, aucun utilisateur, appareil ou actif connecté au réseau, de quelque façon que ce soit, n’est sûr en soi. Chaque connexion n’est pas fiable jusqu’à ce que sa fiabilité ait été prouvée. La gestion de réseau Zero Trust (ZT) prend en compte les méthodes de travail actuelles des entreprises, en intégrant des appareils BYOD, le télétravail, des éléments cloud et des solutions as-a-service dans les considérations relatives à la cybersécurité, avec une surveillance et une autorisation continues pour chaque tentative d’accès.

Sécurité du périmètre

L'approche traditionnelle de la cybersécurité crée une « barrière » de sécurité autour des réseaux qui donnent accès à des actifs essentiels de l’entreprise. Ainsi, les acteurs malveillants ne peuvent pas pénétrer dans ces réseaux et y introduire des malware et ransomware. C’est ce que l’on appelle souvent la sécurité du périmètre. Néanmoins, cette approche comporte des défauts. Quel que soit le niveau de sécurité de la passerelle, si un pirate réussit à passer, il a accès à tout ce qui se trouve derrière le pare-feu. De plus, le périmètre du réseau est devenu flou ces dernières années : il dépasse le périmètre traditionnel de l’entreprise, jusqu’à englober le télétravail et les applications SaaS.

Les stratégies telles que l’authentification multi-facteur (MFA) ont renforcé la passerelle, ce qui est un bon point, mais ces stratégies n’ont pas résolu les dangers sur différents réseaux. L’entrée sera plus difficile, mais une fois à l’intérieur, les pirates peuvent se déplacer latéralement sur le réseau et introduire des ransomware ou voler des informations.

Comme le disait Albert Einstein : « Un problème créé ne peut être résolu en réfléchissant de la même manière qu'il a été créé. » Le ZT est un esprit différent, qui aborde la sécurité sous un autre angle.

La sécurité du périmètre part du principe qu’un utilisateur ou une connexion est digne de confiance, jusqu’à ce que les systèmes de sécurité signalent une violation. Dans sa forme la plus pure, le ZT part du principe que les attaquants rôdent toujours à proximité et qu’aucune tentative de connexion n’est sécurisée avant d'avoir été authentifiée, qu’elle ait lieu dans le périmètre de l’entreprise ou non.

Migration vers le Zero Trust

Le ZT est une approche de la cybersécurité, et non un événement ou un ensemble de services ou de produits. La migration vers la sécurité du réseau ZT est un processus au fil du temps. Au fur et à mesure de votre conversion, vous continuerez sans doute à utiliser certains des produits et services de votre suite actuelle, mais vous les emploierez d’une autre manière. La plupart des réseaux deviendront hybrides pendant un temps, à mesure que le centre des opérations de sécurité (SOC) met en œuvre des projets de modernisation. Le seul réseau ZT « pur » est celui conçu depuis le tout début, basé sur des principes ZT.

C’est pour cette raison qu’il est très important de commencer par établir un plan pour le passage au ZT. Le plan commence par identifier tous les actifs, sujets, processus métier, flux de trafic et dépendances dans l’infrastructure de l’entreprise. L’intégration de projets incrémentiels aide à mapper votre progression et à suivre la réussite.

Le plan doit inclure tous les actifs de l’entreprise :

Dispositifs
Composants d’infrastructure
Applications
Composants virtuels
Composants cloud

Il doit également inclure tous les sujets :

Utilisateurs finaux
Applications
Entités non humaines qui demandent des informations

Éléments de gestion de réseau Zero Trust

L'adoption de l'approche Zero Trust comporte un certain nombre de considérations à mesure que vous migrez votre réseau. Les sections suivantes évoquent quelques étapes que vous pouvez suivre pour rapprocher votre infrastructure d’un cadre ZT.

Implémenter la microsegmentation

La microsegmentation est l’un des principes de base de la gestion de réseau ZT. Il s'agit de la pratique consistant à isoler les charges de travail et à les sécuriser individuellement, afin de limiter l’accès. Dans la sécurité du périmètre, une violation permet aux pirates d'accéder à tout le réseau. La microsegmentation réduit la surface d'attaque et limite les dommages liés à une seule violation.

Isoler les technologies vulnérables

Souvent, les appareils ICT (technologies de l’information et des communications) tels que les téléphones portables, les PC, les emails ou la télévision possèdent des systèmes d’exploitation (SE) fixes dont les vulnérabilités ne peuvent pas faire l’objet de correctifs. Les appareils de technologie opérationnelle (OT) tels que les robots industriels ou l'équipement médical présentent un défi similaire. Malgré tout, ils sont de plus en plus intégrés dans les flux de travail des entreprises. Ces types d'appareils doivent être isolés à l’aide de politiques strictes, afin de réduire la possibilité de violations.

Sous-réseaux sécurisés

Les sous-réseaux sont une partie discrète d’un plus grand réseau. Ils peuvent améliorer la sécurité du réseau, les performances et la résilience. Ils doivent également être intégrés à votre stratégie de ZT pour arrêter les malware et autres outils malveillants. Assurez-vous que les alertes et les journaux des sous-réseaux créent des rapports dans votre console consolidée, à des fins d’investigation et de résolution.

Accès à distance sécurisé

Avant le ZT, les techniques visant à établir la sécurité pour les connexions à distance étaient considérées comme fiables jusqu’à preuve du contraire. Mais les techniques les plus courantes présentent de plus en plus des failles de sécurité. Les réseaux sont devenus plus software-defined et la mobilité a augmenté, en particulier pendant la pandémie de COVID-19. Cela a créé l’apparition d’endpoints non gérés, de SaaS non sanctionné et de SD-WAN non sécurisés.

Virtual private network (VPN) - Les protections de la connexion VPN s'arrêtaient en périphérie, mais autorisaient l’utilisateur à accéder à tout le réseau. Ils créaient l’illusion d’être fiables. La sécurité du VPN ne se connectait pas bien non plus aux réseaux software-defined de plus en plus utilisés.
Cloud Access Security Broker - Le principal problème avec le CASB était la nature fixe de ses précautions de sécurité. Les réseaux software-defined étaient de plus en plus fluides et les employés étaient plus mobiles, mais les précautions de sécurité n'étaient pas aussi flexibles que nécessaire.
Secure web gateway (SWG) - Les SWG présentaient des problèmes avec les employés qui travaillent de n’importe quel endroit.

Les solutions de connexions à distance continuent d'évoluer, mais des options offrent désormais des solutions de cybersécurité cohérentes avec les habitudes de travail mobile et l’approche ZT.

Secure access service edge (SASE) - Le SASE entre dans le cadre du ZT et énonce les principes ZT pour des sections particulières de l’entreprise. La société d'analystes Gartner utilise ce terme. Les composants de solutions SASE peuvent varier, mais généralement, ils se composent des technologies CASB, SWG, ZTNA et SD-WAN pour fournir accès aux applications SaaS privées (dans un data center d’entreprise ou IaaS) ou publiques.
Zero trust edge (ZTE) - Il s'agit d'un autre nom pour le SASE. La société d'analystes Forrester utilise ce terme.
Zero Trust network access (ZTNA) - Le ZTNA entre dans la définition du SASE ou du ZTE. Il s'agit d’une solution de sécurité ZT basée sur le cloud qui offre aux utilisateurs un accès uniquement aux applications pour lesquelles ils sont spécifiquement autorisés. Comme dans l’approche ZT, cela limite les dégâts en cas de violation. Comme le VPN, le ZTNA chiffre les données pour assurer la sécurité, mais il offre une expérience utilisateur fortement améliorée et est bien plus flexible.