Date de parution
Faites confiance au Zero Trust
Les entreprises doivent être plus agiles que jamais. Les employés, consultants et autres intervenants ont besoin d’accès et de mobilité pour accomplir leur travail. Mais qu’en est-il de la sécurité, dans tout ça?
Avec la multiplication des points d’accès et des appareils connectés, la répartition des équipes hors de votre périmètre de sécurité et les données et charges de travail décentralisées, la protection de vos actifs technologiques est devenue un défi de taille.
Pour y parvenir, il faut repenser votre façon de gérer la sécurité et la considérer d’un nouvel oeil.
Une confiance à établir
L’efficacité du zero trust, ou de la confiance nulle en français, réside dans sa capacité à sécuriser les accès à vos réseaux, vos applications et vos environnements en vous offrant plus de visibilité et de contrôle. Toutefois, il ne s’agit pas d’une solution unique à déployer. C’est plutôt un parcours au fil duquel vous améliorez et optimisez votre posture de cybersécurité en continu.
L’usager est au cœur de cette méthodologie et devient le nouveau périmètre de sécurité. C’est son identité qui est validée avant qu’un accès lui soit accordé aux données et applications de l’entreprise. On vérifie également depuis quel appareil il se connecte et, de façon continue, ses activités sur le réseau.
Ainsi, peu importe où l’utilisateur se trouve, il peut accéder aux ressources dont il a besoin pour travailler, sans que les pares-feux et les appareils soient reconfigurés chaque fois. Ce qui s’avère très pertinent en contexte de télétravail. Par ailleurs, ses permissions sont restreintes aux outils dont il a besoin pour effectuer ses tâches, évitant ainsi les mouvements latéraux vers d’autres systèmes que l’on voudrait protéger.
Selon une méthode de sécurité plus traditionnelle, un malfaiteur pourrait exploiter une faille sur un poste personnel pour s’infiltrer à travers votre réseau et accéder à un serveur central ou encore aux robots de votre chaîne de production. C’est d’ailleurs un modus operandi relativement commun pour s’introduire dans les réseaux des entreprises, ce pourquoi on voit un nombre grandissant d’organisations qui adhèrent au principe du zero trust.
Un modèle. Trois piliers fondamentaux.
L’avenir des TI réside donc dans le principe du zero trust. Il s’agit effectivement d’une stratégie très efficace pour s’adapter à la nouvelle réalité du télétravail, à la mobilité des travailleurs, ainsi qu’à la multiplication des objets connectés (IoT) qui, ensemble, font s’estomper le traditionnel périmètre de sécurité.
La philosophie du zero trust se décline en trois piliers fondamentaux.
Les employés
Il faut d’abord établir un lien de confiance avec l’utilisateur en s’assurant qu’il s’agisse vraiment de la bonne personne avant de lui permettre d’accéder à vos données et applications. Il est impératif d’aller au-delà de la simple protection qu’offrent les mots de passe.
Des systèmes d’authentification multifacteur (MFA) permettent de valider l’identité de l’usager avec assurance. Pour l’usager, l’expérience est transparente et ne ralentit pas ses activités. En termes de cybersécurité, vous obtenez une protection accrue en sachant que seules les personnes autorisées ont accès à vos ressources informatiques, peu importe où elles se trouvent.
À lire également
Gestion des accès et des identités →
Les appareils
Même si la bonne personne se connecte, il est possible que son appareil vous expose à des risques s’il est compromis ou infecté. Ainsi, l’étape suivante du zero trust consiste à vérifier la conformité d’un appareil aux normes établies par une entreprise et ce, pour tous les appareils – professionnels et personnels – qui accèdent à vos applications.
En validant que l’environnement de travail est à jour et en santé, en imposant des contrôles d’accès à tous les appareils et en rencontrant des normes minimales de sécurité, vous protégez vos TI contre des menaces qui n’ont pas été détectées par l’utilisateur.
À lire également
Gestion des appareils et de la sécurité →
Les applications
Selon la démarche zero trust, il ne suffit pas de simplement « donner accès » une fois l’utilisateur connecté. Il faut contrôler de façon plus granulaire les permissions qui lui sont allouées, les données lisibles ou modifiables, ainsi que les applications qui peuvent être utilisées.
Le zero trust vise à protéger les environnements de travail, que vos applications soient on premise ou dans le cloud, que vos utilisateurs soient sur place ou à distance et qu’ils utilisent un VPN ou pas. Contrairement au périmètre de sécurité traditionnel, toutes ces vérifications sont effectuées au niveau applicatif et vous assurent que vos ressources critiques ne sont utilisées que par les personnes qui en ont vraiment besoin. Plusieurs solutions permettent d’ailleurs d’effectuer cette gestion à partir d’une seule interface.
« Comme son nom l’indique, la méthodologie zero trust implique de ne faire confiance à aucun appareil, aucun utilisateur, aucune application sans avoir validé que les normes de posture de cybersécurité de l’entreprise sont respectées. Une fois connecté, il est également essentiel de garder le contrôle sur l’accès de l’usager. »
Entamez votre parcours
Le zero trust est devenu un incontournable pour assurer la sécurité dans un univers décentralisé et face à des menaces qui évoluent rapidement.
Heureusement, cette démarche peut être appliquée de façon graduelle et progressive au sein de votre organisation. C’est même un concept qui évoluera avec vous et qui vous permettra de demeurer très agile en termes de cybersécurité.
Le Zero Trust Network Access (ZTNA) est un pilier majeur de l’approche Secure Access Service Edge, ou SASE, telle que définie par Gartner. Parlez à nos experts pour découvrir comment votre entreprise peut en bénéficier.