Selon l’approche essentielle du Zero Trust (ZT) concernant la gestion de réseau, aucun utilisateur, appareil ou actif connecté au réseau, de quelque façon que ce soit, n’est sûr en soi. Chaque connexion n’est pas fiable jusqu’à ce que sa fiabilité ait été prouvée. La gestion de réseau Zero Trust (ZT) prend en compte les méthodes de travail actuelles des entreprises, en intégrant des appareils BYOD, le télétravail, des éléments cloud et des solutions as-a-service dans les considérations relatives à la cybersécurité, avec une surveillance et une autorisation continues pour chaque tentative d’accès.
L'approche traditionnelle de la cybersécurité crée une « barrière » de sécurité autour des réseaux qui donnent accès à des actifs essentiels de l’entreprise. Ainsi, les acteurs malveillants ne peuvent pas pénétrer dans ces réseaux et y introduire des malware et ransomware. C’est ce que l’on appelle souvent la sécurité du périmètre. Néanmoins, cette approche comporte des défauts. Quel que soit le niveau de sécurité de la passerelle, si un pirate réussit à passer, il a accès à tout ce qui se trouve derrière le pare-feu. De plus, le périmètre du réseau est devenu flou ces dernières années : il dépasse le périmètre traditionnel de l’entreprise, jusqu’à englober le télétravail et les applications SaaS.
Les stratégies telles que l’authentification multi-facteur (MFA) ont renforcé la passerelle, ce qui est un bon point, mais ces stratégies n’ont pas résolu les dangers sur différents réseaux. L’entrée sera plus difficile, mais une fois à l’intérieur, les pirates peuvent se déplacer latéralement sur le réseau et introduire des ransomware ou voler des informations.
Comme le disait Albert Einstein : « Un problème créé ne peut être résolu en réfléchissant de la même manière qu'il a été créé. » Le ZT est un esprit différent, qui aborde la sécurité sous un autre angle.
La sécurité du périmètre part du principe qu’un utilisateur ou une connexion est digne de confiance, jusqu’à ce que les systèmes de sécurité signalent une violation. Dans sa forme la plus pure, le ZT part du principe que les attaquants rôdent toujours à proximité et qu’aucune tentative de connexion n’est sécurisée avant d'avoir été authentifiée, qu’elle ait lieu dans le périmètre de l’entreprise ou non.
Le ZT est une approche de la cybersécurité, et non un événement ou un ensemble de services ou de produits. La migration vers la sécurité du réseau ZT est un processus au fil du temps. Au fur et à mesure de votre conversion, vous continuerez sans doute à utiliser certains des produits et services de votre suite actuelle, mais vous les emploierez d’une autre manière. La plupart des réseaux deviendront hybrides pendant un temps, à mesure que le centre des opérations de sécurité (SOC) met en œuvre des projets de modernisation. Le seul réseau ZT « pur » est celui conçu depuis le tout début, basé sur des principes ZT.
C’est pour cette raison qu’il est très important de commencer par établir un plan pour le passage au ZT. Le plan commence par identifier tous les actifs, sujets, processus métier, flux de trafic et dépendances dans l’infrastructure de l’entreprise. L’intégration de projets incrémentiels aide à mapper votre progression et à suivre la réussite.
Le plan doit inclure tous les actifs de l’entreprise :
Il doit également inclure tous les sujets :
L'adoption de l'approche Zero Trust comporte un certain nombre de considérations à mesure que vous migrez votre réseau. Les sections suivantes évoquent quelques étapes que vous pouvez suivre pour rapprocher votre infrastructure d’un cadre ZT.
Implémenter la microsegmentation
La microsegmentation est l’un des principes de base de la gestion de réseau ZT. Il s'agit de la pratique consistant à isoler les charges de travail et à les sécuriser individuellement, afin de limiter l’accès. Dans la sécurité du périmètre, une violation permet aux pirates d'accéder à tout le réseau. La microsegmentation réduit la surface d'attaque et limite les dommages liés à une seule violation.
Isoler les technologies vulnérables
Souvent, les appareils ICT (technologies de l’information et des communications) tels que les téléphones portables, les PC, les emails ou la télévision possèdent des systèmes d’exploitation (SE) fixes dont les vulnérabilités ne peuvent pas faire l’objet de correctifs. Les appareils de technologie opérationnelle (OT) tels que les robots industriels ou l'équipement médical présentent un défi similaire. Malgré tout, ils sont de plus en plus intégrés dans les flux de travail des entreprises. Ces types d'appareils doivent être isolés à l’aide de politiques strictes, afin de réduire la possibilité de violations.
Sous-réseaux sécurisés
Les sous-réseaux sont une partie discrète d’un plus grand réseau. Ils peuvent améliorer la sécurité du réseau, les performances et la résilience. Ils doivent également être intégrés à votre stratégie de ZT pour arrêter les malware et autres outils malveillants. Assurez-vous que les alertes et les journaux des sous-réseaux créent des rapports dans votre console consolidée, à des fins d’investigation et de résolution.
Accès à distance sécurisé
Avant le ZT, les techniques visant à établir la sécurité pour les connexions à distance étaient considérées comme fiables jusqu’à preuve du contraire. Mais les techniques les plus courantes présentent de plus en plus des failles de sécurité. Les réseaux sont devenus plus software-defined et la mobilité a augmenté, en particulier pendant la pandémie de COVID-19. Cela a créé l’apparition d’endpoints non gérés, de SaaS non sanctionné et de SD-WAN non sécurisés.
Les solutions de connexions à distance continuent d'évoluer, mais des options offrent désormais des solutions de cybersécurité cohérentes avec les habitudes de travail mobile et l’approche ZT.
Recherches associées
Articles associés