Cet article a également été publié sur LinkedIn.
Le Guide du marché Zero Trust 2020 de Gartner prévoit que dans seulement deux ans, 80 % des entreprises accéderont à de nouvelles applications numériques en utilisant l’accès réseau Zero Trust (ZTNA pour Zero Trust Network Access). Le rapport indique également que les solutions de sécurité ZTNA remplaceront bientôt les solutions de sécurité traditionnelles telles que les réseaux privés virtuels (VPN) pour les employés distants et les tiers.
ZTNA et d’autres solutions de sécurité cloud passent au premier plan des stratégies informatiques pour deux raisons :
- Les solutions traditionnelles ne peuvent pas s’adapter aux initiatives de transformation des réseaux d’entreprise.
- Les grandes piles de sécurité matérielles sont coûteuses et ne peuvent pas s’adapter à l’augmentation du trafic générée par le passage au cloud.
En janvier dernier, j’aurais été d’accord avec l’évaluation optimiste de Gartner concernant l’adoption de ZTNA. Mais la crise de COVID-19 est survenue. Les entreprises se sont recentrées sur la continuité de leurs activités. (En situation d’urgence, beaucoup se tournent vers des technologies familières, même si elles ne sont pas les mieux adaptées à la situation). La plupart des mesures réactives prises par les entreprises ont consisté à étendre les systèmes VPN existants. Mais lorsque des sociétés entières ont adopté des scénarios de travail à domicile à l’échelle de l’entreprise, la mise en œuvre de plans de sécurité à long terme est devenue un exercice tactique plutôt que stratégique.
Après le « premier jour » de la crise, les plans de continuité des activités (PCA) ont généralement suivi trois voies différentes : celle de la cohérence, de la confiance et du courage. Imaginez que vous vous trouviez dans une piscine publique avec vos trois enfants, chacun se tenant sur un plongeoir différent : le premier à un mètre, le second à trois mètres et le troisième à six mètres.
Ci-dessous, nous examinerons ces trois plongeoirs dans le contexte du Zero Trust.
Cohérence
Le premier enfant à la hauteur la plus basse, le plongeoir d’un mètre, saute directement dans l’eau : risque faible, inquiétude minimale. Il s’agit de l’approche « cohérente ». Dans un contexte de sécurité d’entreprise, le plan de continuité des activités correspondant à la métaphore du plongeoir bas comprend l’extension du travail à domicile à l’aide de la capacité VPN actuelle ou élargie. Tant que cette capacité est accessible, les entreprises cohérentes peuvent fonctionner comme avant avec peu d’impact sur les opérations en cours ou la productivité.
L’approche cohérente fournit un accès continu et ininterrompu aux applications sans nouveaux outils ni systèmes. Les plans de transformation du réseau à plus long terme ne sont pas affectés et les activités se poursuivent comme avant. Il n’y a pas assez (ou pas du tout) de pression pour imposer un changement vers une stratégie d’adoption du Zero Trust.
En matière de sécurité, cependant, les risques inhérents aux réseaux privés virtuels augmentent de façon exponentielle. L’augmentation du travail à domicile accroît le risque pour votre réseau. Un plus grand nombre d’utilisateurs sur le VPN élargit la surface d’attaque du réseau : la sécurité basée sur le périmètre doit encercler chaque connexion réseau distante. (Considérez chaque employé distant comme une nouvelle filiale d’une personne). Cette exposition étendue se poursuivra jusqu’à ce que les circonstances changent. Et les acteurs malveillants le savent : la récente attaque REvil a ciblé des serveurs VPN non corrigés.
Pour protéger les « ressources les plus précieuses » de l’entreprise, vous pouvez continuer à utiliser des solutions traditionnelles telles que le routage et le transfert virtuels (VRF), les pare-feu ou le contrôle d’accès au réseau (NAC) pour contrôler qui accède à quoi sur le réseau. Mais la mise en œuvre de ces solutions traditionnelles est coûteuse et il est difficile de les gérer.
Vous pouvez également profiter de cette occasion pour comparer le Zero Trust aux solutions traditionnelles pour les VPN, l’accès des tiers et la protection des technologies opérationnelles (OT), à condition que la crise ne mobilise pas les ressources et le budget entre-temps, bien sûr.
Confiance
L’enfant suivant monte sur le plongeoir de trois mètres : le risque est plus élevé et vous pouvez vous inquiéter un peu. Ceci est comparable à la voie d’entreprise « confiante ». Sur le plan organisationnel, l’entreprise confiante s’adapte rapidement à la nouvelle réalité de la crise. L’extension de la capacité des systèmes traditionnels pour permettre au personnel distant de rester productif exige des efforts intensifs (et probablement coûteux). En conséquence, les dirigeants d’entreprise reconnaissent que les architectures de sécurité des réseaux existants limitent la flexibilité. La pandémie constitue une bonne occasion de démontrer que le Zero Trust est une solution de transformation du réseau. Vous pouvez créer des groupes de tests pour démontrer la valeur de ZTNA par rapport aux VPN. (Pour l’adoption de solutions ZTNA, Gartner Research recommande d’utiliser un groupe pilote pour évaluer les solutions de transformation par rapport aux réseaux traditionnels.)
La transformation d’une entreprise implique généralement de nombreuses parties prenantes. Cela signifie que les entreprises doivent faire face à de nombreux risques et préoccupations en matière d’architecture. Si la pandémie actuelle accélère probablement le processus d’adoption, le maintien d’une solution Zero Trust dépend de la perception d’avantages immédiats de la technologie. Cela met également en évidence d’autres obligations (peut-être contractuelles ou financières) associées à votre architecture traditionnelle.
Le moment est venu de promouvoir toute donnée concrète attestant des avantages du Zero Trust par rapport aux solutions existantes. Cela suscitera l’intérêt d’autres équipes et unités commerciales de l’entreprise. Recherchez le soutien de fournisseurs Zero Trust, de conseillers de confiance et de promoteurs internes.
Courage
Le troisième enfant s’élance vers le plongeoir de six mètres : risque élevé, forte inquiétude. Le plongeoir de six mètres est peut-être impressionnant, mais il suscite également l’insécurité et la peur. C’est l’option « courageuse ». L’entreprise courageuse, plutôt que de s’en tenir aux architectures existantes ou d’adopter la transformation au fur et à mesure des besoins, lance immédiatement sa stratégie de transformation.
Cette approche comporte des risques. Exécuter une nouvelle stratégie de transformation tout en composant avec la pandémie peut poser des problèmes en termes de ressources, de coûts et de réactivité.
Remplacer les systèmes VPN traditionnels par une solution Zero Trust constitue une excellente première étape. L’équipe informatique doit identifier les applications auxquelles les utilisateurs accèdent et où ces applications sont hébergées (dans un data center interne ou dans un environnement cloud). Le grand nombre d’applications peut surprendre les administrateurs informatiques, compte tenu de la prolifération de l’informatique fantôme (et souvent du manque de visibilité sur le trafic des données des utilisateurs). Le service informatique doit déterminer comment appliquer les politiques afin que les utilisateurs puissent accéder aux applications et services internes et externes. Un audit complet du trafic de données ou un inventaire des applications apportera une bonne perspective du trafic réseau de l’entreprise et du comportement des utilisateurs sur le réseau.
Définir des politiques dans une architecture Zero Trust, du moins au début, peut sembler une tâche ardue. C’est pourquoi de nombreuses entreprises choisissent de sauter dans la piscine de la transformation depuis un plongeoir plus bas. Elles craignent que les politiques n’entravent la productivité des employés (trop restrictives) ou n’étendent la surface d’attaque du réseau (trop permissives).
Mais les risques s’accompagnent de plus grandes gratifications : les entreprises courageuses bénéficient de la plus-value immédiate d’une solution Zero Trust (une meilleure sécurité et de meilleures performances) et créent un environnement de connectivité agile capable de s’adapter au changement. Zero Trust soutient le type de transformation du réseau qui procure aux entreprises des avantages concurrentiels et une meilleure expérience client. (Et ces impacts seront importants lorsque nous sortirons de la crise actuelle).
Plonger avec les solutions Zero Trust
Les trois réponses à la pandémie sont comme nos trois plongeurs : ils peuvent tous plonger dans la piscine de transformation sans encombre et en toute sécurité. Assurer la continuité des activités pendant la pandémie actuelle exige un effort herculéen, quelle que soit la voie que choisit l’entreprise. La différence réside dans la manière dont la stratégie de transformation de l’entreprise positionne sa capacité à atteindre ses objectifs une fois la crise terminée.
Les entreprises « cohérentes » continueront finalement comme avant, mais resteront en retard sur leurs concurrents en matière de transformation. Les entreprises « confiantes » disposeront de données pertinentes qu’elles pourront utiliser pour faire avancer leurs plans stratégiques. Quant aux entreprises « courageuses », elles auront une longueur d’avance lorsque les avantages de la transformation leur permettront d’atteindre leurs objectifs commerciaux.
De nombreuses discussions abordent la question de savoir ce qui se passera après la pandémie. Allons-nous revenir à la « normale » ? La pandémie va-t-elle accélérer les stratégies de transformation ? À mon avis, les politiques et les pratiques de travail à domicile occuperont une place plus importante dans la culture quotidienne de l’entreprise, deviendront une stratégie de référence dans le cadre du plan de continuité des activités et constitueront un point d’entrée pour la transformation du réseau. Les entreprises ont besoin d’un accès sécurisé aux applications, flexible et évolutif, dans l’immédiat et au-delà de la crise. C’est donc le moment idéal pour entamer la transformation du réseau.
N’hésitez donc pas à faire le grand plongeon. Vous provoquerez un plus grand remous.
