Le ministère de la Sécurité intérieure (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA) ont récemment publié un modèle de maturité qui définit des capacités et des piliers distincts dans lesquels les agences devraient envisager d’investir tout en spécifiant une liste d’outils et de processus pour répondre aux exigences de Zero Trust énoncées dans l’Executive Ordonnance 14028, « Améliorer la cybersécurité de la nation ». En janvier 2022, l’Office of Management and Budget (OMB) des États-Unis a publié la stratégie fédérale Zero Trust pour guider davantage les agences gouvernementales dans l’élaboration d’une stratégie Zero Trust. Cette stratégie peut être réalisée par l’évolution des systèmes de cybersécurité existants et détaille les mesures que les agences gouvernementales peuvent prendre pour renforcer la confiance dans un modèle de sécurité Zero Trust.
Ces orientations et ce modèle soulignent le fait que le Zero Trust n’est pas un produit unique, mais plutôt un ensemble de concepts et d’idées visant à empêcher l’accès non autorisé aux données et aux services, tout en rendant l’application du contrôle d’accès aussi granulaire que possible. Il s’agit d’un changement radical par rapport aux défenses traditionnelles basées sur le périmètre utilisées dans les réseaux gouvernementaux. Le passage au Zero Trust représente un effort incroyable, mais il doit être accompli pour sécuriser les données et les systèmes nécessaires à la protection et au service des citoyens et des intérêts américains.
Comprendre le défi
Le Zero Trust consiste à passer d’un modèle centré sur l’emplacement à une approche plus centrée sur les données, qui s’aligne sur la nouvelle réalité d’un personnel hybride et largement distribué. Passer à une architecture Zero Trust (ZTA) est plus qu’un défi technique, c’est aussi un changement culturel de la politique de cybersécurité.
Les systèmes traditionnels reposent sur la « confiance implicite », un concept qui entre en conflit avec le principe fondamental de l’évaluation adaptative de la confiance au sein d’une solution ZTA. Cela signifie que les infrastructures existantes fondées sur une confiance implicite doivent être soit reconstruites, soit remplacées.
Relever le défi
Le passage au Zero Trust prendra du temps, mais les efforts peuvent être accélérés avec les bons outils. Chez Zscaler, nous sommes fiers de proposer une gamme de produits conçus avec le Zero Trust comme l’architecture de sécurité dominante. Dans cette série d’articles, nous examinerons chaque fonctionnalité définie par la CISA et détaillerons la manière dont Zscaler peut aider les agences à migrer leurs architectures vers une approche Zero Trust.
Comme le souligne la CISA dans son modèle, chaque capacité peut progresser à son propre rythme et peut être plus avancée que d’autres. À un certain moment, une coordination entre les piliers sera nécessaire, en mettant l’accent sur l’interopérabilité et les dépendances afin de garantir la compatibilité. Cela facilite une évolution progressive vers le Zero Trust, et permet de répartir les coûts et les efforts dans le temps.
Nous adopterons une approche progressive en dédiant un article à chaque capacité, examinant comment faire évoluer les éléments suivants à travers le modèle :
- Identité : passer à une approche d’accès sur la base du moindre privilège à la gestion des identités
- Données : passer à une approche de la cybersécurité centrée sur les données, en commençant par identifier, classer et inventorier les ressources de données
- Appareils et terminaux : garantir l’intégrité des appareils utilisés pour accéder aux services et aux données
- Réseau et environnement : aligner la segmentation et les protections du réseau en fonction des besoins des flux de travail de leurs applications au lieu de la confiance implicite inhérente à la segmentation réseau traditionnelle
- Application et charge de travail : intégrer plus étroitement les mesures de protection aux flux de travail des applications, accorder un accès aux applications en fonction de l’identité, de la conformité des appareils et d’autres attributs
- Visibilité et analyse : recueillir des données sur les transactions et en rendre compte dans des tableaux de bord et des rapports conviviaux
- Automatisation et orchestration : mettre en œuvre de solutions basées sur des API qui permettent de modifier et d’appliquer les politiques de manière dynamique
Ne manquez pas notre analyse approfondie de chacun de ces domaines qui présente l’état actuel de ZTA, son état souhaité et comment effectuer la transition avec l’aide de Zscaler.