La majorité des architectures de sécurité en place aujourd’hui ont été conçues pour protéger les utilisateurs qui travaillent dans un bureau d’entreprise, ainsi que les applications et les données hébergées dans un data center centralisé. Mais le monde a changé et la sécurisation des utilisateurs, des données et des applications est plus compliquée que jamais. Les tendances déjà amorcées, la migration des applications et des données vers le cloud et le SaaS, l’utilisation accrue du BYOD et des appareils non gérés, et les utilisateurs quittant le bureau pour travailler à distance chez eux, se sont rapidement accélérées du fait de la pandémie mondiale. Les tendances technologiques telles que l’IoT et l’OT ont gagné en même temps du terrain et ont ajouté à la complexité. Sans surprise, ces événements ont déclenché une forte recrudescence des ransomwares, des attaques contre la chaîne d’approvisionnement et d’autres menaces.
Les entreprises se sont rapidement aperçues que les architectures de sécurité traditionnelles, axées sur la protection du périmètre du réseau et de tout ce qui s’y trouve, n’étaient plus pertinentes, car elles sont incapables de répondre aux menaces sophistiquées modernes. La protection des entreprises modernes exige une nouvelle approche de la sécurité. Alors, comment les organisations relèvent-elles ces défis ? Nombre d’entre elles se tournent vers le Zero Trust. Mais en dépit du fait que l’idée du Zero Trust est née il y a plus de dix ans, une grande confusion demeure. Dans son récent dossier d’analyste d’IDC, « Implementing Zero Trust as a Foundation for Secure Business Enablement », Christopher Rodriguez, directeur de recherche pour les produits et stratégies de sécurité réseau chez IDC, aborde le concept de Zero Trust, tente de dissiper la confusion et examine les impacts d’une architecture Zero Trust sur la sécurité de l’entreprise.
Mais qu’est-ce que le Zero Trust, après tout ?
Zero Trust est une approche globale de la sécurisation des entreprises modernes, avec pour assise l’accès basé sur le moindre privilège et le principe selon lequel aucun utilisateur ou application ne devrait être implicitement considéré comme fiable. Elle part du principe que tout est hostile et que le réseau a été compromis, et utilise l’identité et le contexte pour connecter en toute sécurité les utilisateurs aux applications en utilisant des politiques commerciales sur Internet.
Plutôt que de procéder au backhauling du trafic vers les data centers pour en inspecter le contenu, le modèle Zero Trust offre une sécurité en tant que service cloud à la périphérie, plus proche de l’endroit où se trouve l’utilisateur. Cela élimine le backhauling et minimise le nombre de sauts entre l’utilisateur et sa destination, réduisant ainsi la latence et améliorant l’expérience utilisateur.
Construire une base de sécurité solide
Une architecture Zero Trust constitue la base sur laquelle les organisations peuvent construire leur écosystème de sécurité. Dans le dossier d’analyste d’IDC, Christopher Rodriguez identifie et fournit des détails sur six éléments clés qui la constituent :
- Autorisation granulaire de tous les utilisateurs
- Pratiques robustes d’identité et d’authentification
- Politiques dynamiques basées sur le contexte
- Application universelle du Zero Trust à tous les sujets, entités et ressources
- Détection/protection permanente des menaces
- Accès basé sur le « besoin de savoir » connectant uniquement les utilisateurs et applications autorisés
Zero Trust est une stratégie qui ne spécifie pas les technologies nécessaires à sa mise en œuvre. Cependant, les architectures actuelles n’ont pas été conçues pour fournir les outils nécessaires au Zero Trust. Selon Christopher Rodriguez, « l’architecture de sécurité traditionnelle se fissure d’année en année. Pourtant, de nombreuses entreprises continuent de se contenter de ce qu’elles connaissent, en essayant d’adapter leurs outils de sécurité sur site, leurs pare-feu, leurs services cloud et leurs solutions ponctuelles ». Les entreprises qui adoptent cette approche, plutôt que d’adopter une véritable architecture Zero Trust, auront généralement du mal à déployer le Zero Trust à grande échelle.
Tracer la voie à suivre
La mise en œuvre d’une architecture Zero Trust permet aux entreprises d’optimiser leur posture de sécurité grâce à une validation d’identité robuste et à des politiques contextuelles (par exemple, l’emplacement, l’heure, le type/statut de l’appareil, le comportement de l’utilisateur) et des contrôles d’accès granulaires. L’architecture Zero Trust aide les entreprises à réduire les risques, à éliminer la surface d’attaque et à empêcher le déplacement latéral des menaces. Il en résulte une simplification de l’informatique, une réduction des coûts et une amélioration de la conformité réglementaire, ainsi qu’une expérience utilisateur exceptionnelle.
Vous envisagez-de déployer une architecture Zero Trust ? Zero Trust fait déjà partie de vos projets ? Lisez le dossier d’analyste d’IDC complet pour plus de détails. L’analyse de Christopher Rodriguez vous aidera à comprendre les éléments fondamentaux et les avantages du Zero Trust, à dissiper la confusion qui l’entoure et à identifier les éléments à considérer pour adopter une architecture Zero Trust. Téléchargez votre exemplaire dès aujourd’hui.
