Selon l’approche essentielle du Zero Trust (ZT) concernant la gestion de réseau, aucun utilisateur, appareil ou actif connecté au réseau, de quelque façon que ce soit, n’est sûr en soi. Chaque connexion n’est pas fiable jusqu’à ce que sa fiabilité ait été prouvée. La gestion de réseau Zero Trust (ZT) prend en compte les méthodes de travail actuelles des entreprises, en intégrant des appareils BYOD, le télétravail, des éléments cloud et des solutions as-a-service dans les considérations relatives à la cybersécurité, avec une surveillance et une autorisation continues pour chaque tentative d’accès.
L'approche traditionnelle de la cybersécurité crée une « barrière » de sécurité autour des réseaux qui donnent accès à des actifs essentiels de l’entreprise. Ainsi, les acteurs malveillants ne peuvent pas pénétrer dans ces réseaux et y introduire des malware et ransomware. C’est ce que l’on appelle souvent la sécurité du périmètre. Néanmoins, cette approche comporte des défauts. Quel que soit le niveau de sécurité de la passerelle, si un pirate réussit à passer, il a accès à tout ce qui se trouve derrière le pare-feu. De plus, le périmètre du réseau est devenu flou ces dernières années : il dépasse le périmètre traditionnel de l’entreprise, jusqu’à englober le télétravail et les applications SaaS.
Les stratégies telles que l’authentification multi-facteur (MFA) ont renforcé la passerelle, ce qui est un bon point, mais ces stratégies n’ont pas résolu les dangers sur différents réseaux. L’entrée sera plus difficile, mais une fois à l’intérieur, les pirates peuvent se déplacer latéralement sur le réseau et introduire des ransomware ou voler des informations.
Comme le disait Albert Einstein : « Un problème créé ne peut être résolu en réfléchissant de la même manière qu'il a été créé. » Le ZT est un esprit différent, qui aborde la sécurité sous un autre angle.
La sécurité du périmètre part du principe qu’un utilisateur ou une connexion est digne de confiance, jusqu’à ce que les systèmes de sécurité signalent une violation. Dans sa forme la plus pure, le ZT part du principe que les attaquants rôdent toujours à proximité et qu’aucune tentative de connexion n’est sécurisée avant d'avoir été authentifiée, qu’elle ait lieu dans le périmètre de l’entreprise ou non.
Le ZT est une approche de la cybersécurité, et non un événement ou un ensemble de services ou de produits. La migration vers la sécurité du réseau ZT est un processus au fil du temps. Au fur et à mesure de votre conversion, vous continuerez sans doute à utiliser certains des produits et services de votre suite actuelle, mais vous les emploierez d’une autre manière. La plupart des réseaux deviendront hybrides pendant un temps, à mesure que le centre des opérations de sécurité (SOC) met en œuvre des projets de modernisation. Le seul réseau ZT « pur » est celui conçu depuis le tout début, basé sur des principes ZT.
C’est pour cette raison qu’il est très important de commencer par établir un plan pour le passage au ZT. Le plan commence par identifier tous les actifs, sujets, processus métier, flux de trafic et dépendances dans l’infrastructure de l’entreprise. L’intégration de projets incrémentiels aide à mapper votre progression et à suivre la réussite.
Le plan doit inclure tous les actifs de l’entreprise :
Il doit également inclure tous les sujets :
Cataloguer et classer les actifs
Commencez par cataloguer tous les actifs de votre réseau, tels que les appareils, les applications et les référentiels de données. Classez ces actifs en fonction de leur sensibilité, de leur criticité et de l’impact potentiel d’une violation de sécurité. Ce faisant, vous aurez une compréhension claire de ce qui nécessite une protection, et vous pourrez hiérarchiser les mesures de sécurité en conséquence.
Authentifier les appareils et les utilisateurs
Mettez en œuvre des mécanismes d’authentification robustes pour vérifier l’identité des appareils et des utilisateurs avant de leur permettre d’accéder aux ressources réseau. Utilisez l’authentification multifacteur (MFA) et les certificats d’appareil pour vous assurer que seules les personnes autorisées peuvent accéder au réseau. Cette étape est essentielle pour empêcher l’accès non autorisé et maintenir l’intégrité de votre cadre Zero Trust.
Décrire et analyser les flux de travail
Cartographiez et analysez les flux de travail au sein de votre organisation pour comprendre comment les données se déplacent sur le réseau. Identifiez les processus clés et leurs dépendances pour rechercher les vulnérabilités de sécurité potentielles. En comprenant ces flux de travail, vous pouvez mieux concevoir des politiques de sécurité qui minimisent les risques tout en assurant l’efficacité opérationnelle.
Établir et automatiser des politiques de sécurité
Développez et appliquez des politiques de sécurité qui régulent l’accès au réseau, le traitement des données et l’activité des utilisateurs. Automatisez ces stratégies à l’aide d’outils de sécurité avancés pour assurer une application cohérente et réduire le risque d’erreur humaine. L’automatisation permet également une surveillance en temps réel et une réaction rapide aux menaces potentielles, ce qui s’aligne sur le principe Zero Trust de la vérification continue.
Évaluer, surveiller et entretenir les systèmes
Évaluez et surveillez en continu vos systèmes afin de détecter et de réagir rapidement aux incidents de sécurité. Utilisez des outils et techniques de surveillance avancés pour surveiller l’activité du réseau et identifier les anomalies. Mettez à jour et gérez systématiquement votre infrastructure de sécurité pour faire face aux nouvelles menaces et vulnérabilités, en veillant à ce que votre réseau Zero Trust reste résilient et efficace au fil du temps.
Éléments de gestion de réseau Zero Trust
L'adoption de l'approche Zero Trust comporte un certain nombre de considérations à mesure que vous migrez votre réseau. Les sections suivantes évoquent quelques étapes que vous pouvez suivre pour rapprocher votre infrastructure d’un cadre ZT.
Implémenter la microsegmentation
La microsegmentation est l’un des principes de base de la gestion de réseau ZT. Il s'agit de la pratique consistant à isoler les charges de travail et à les sécuriser individuellement, afin de limiter l’accès. Dans la sécurité du périmètre, une violation permet aux pirates d'accéder à tout le réseau. La microsegmentation réduit la surface d'attaque et limite les dommages liés à une seule violation.
Isoler les technologies vulnérables
Souvent, les appareils ICT (technologies de l’information et des communications) tels que les téléphones portables, les PC, les emails ou la télévision possèdent des systèmes d’exploitation (SE) fixes dont les vulnérabilités ne peuvent pas faire l’objet de correctifs. Les appareils de technologie opérationnelle (OT) tels que les robots industriels ou l'équipement médical présentent un défi similaire. Malgré tout, ils sont de plus en plus intégrés dans les flux de travail des entreprises. Ces types d'appareils doivent être isolés à l’aide de politiques strictes, afin de réduire la possibilité de violations.
Sous-réseaux sécurisés
Les sous-réseaux sont une partie discrète d’un plus grand réseau. Ils peuvent améliorer la sécurité du réseau, les performances et la résilience. Ils doivent également être intégrés à votre stratégie de ZT pour arrêter les malware et autres outils malveillants. Assurez-vous que les alertes et les journaux des sous-réseaux créent des rapports dans votre console consolidée, à des fins d’investigation et de résolution.
Accès à distance sécurisé
Avant le ZT, les techniques visant à établir la sécurité pour les connexions à distance étaient considérées comme fiables jusqu’à preuve du contraire. Mais les techniques les plus courantes présentent de plus en plus des failles de sécurité. Les réseaux sont devenus plus software-defined et la mobilité a augmenté, en particulier pendant la pandémie de COVID-19. Cela a créé l’apparition d’endpoints non gérés, de SaaS non sanctionné et de SD-WAN non sécurisés.
Les protections de la connexion VPN s’arrêtaient en périphérie, mais autorisaient l’utilisateur à accéder à tout le réseau. Ils créaient l’illusion d’être fiables. La sécurité du VPN ne se connectait pas bien non plus aux réseaux software-defined de plus en plus utilisés.
Le principal problème avec le CASB était la nature fixe de ses précautions de sécurité. Les réseaux software-defined étaient de plus en plus fluides et les employés étaient plus mobiles, mais les précautions de sécurité n'étaient pas aussi flexibles que nécessaire.
Les SWG présentaient des problèmes avec les employés qui travaillent de n’importe quel endroit.
Les solutions de connexions à distance continuent d'évoluer, mais des options offrent désormais des solutions de cybersécurité cohérentes avec les habitudes de travail mobile et l’approche ZT.
Le SASE entre dans le cadre du ZT et énonce les principes ZT pour des sections particulières de l’entreprise. La société d'analystes Gartner utilise ce terme. Les composants de solutions SASE peuvent varier, mais généralement, ils se composent des technologies CASB, SWG, ZTNA et SD-WAN pour fournir accès aux applications SaaS privées (dans un data center d’entreprise ou IaaS) ou publiques.
Il s’agit d’un autre nom pour le SASE. La société d'analystes Forrester utilise ce terme.
Le ZTNA entre dans la définition du SASE ou du ZTE. Il s’agit d’une solution de sécurité ZT basée sur le cloud qui offre aux utilisateurs un accès uniquement aux applications pour lesquelles ils sont spécifiquement autorisés. Comme dans l’approche ZT, cela limite les dégâts en cas de violation. Comme le VPN, le ZTNA chiffre les données pour assurer la sécurité, mais il offre une expérience utilisateur fortement améliorée et est bien plus flexible.
Commencez par une base solide d’architecture Zero Trust, respectueuse des bonnes pratiques du secteur.
Recherches associées
Articles associés