Approche Zero Trust : les concepts essentiels pour en débloquer la valeur

Cybersécurité
ransomwares ESXi

Avec la recrudescence des attaques informatiques, les entreprises cherchent i le modèle pour répondre aux enjeux d’une infrastructure informatique distribuée. L’approche Zero Trust semble être la plus encline à y répondre aujourd’hui.

Avec la recrudescence des attaques informatiques, les entreprises cherchent aujourd’hui le modèle qui saura leur apporter la sécurité nécessaire pour répondre aux enjeux d’une infrastructure informatique distribuée. L’approche Zero Trust, qui garantit que les organisations restent parfaitement protégées à mesure qu’elles adoptent de nouveaux modes de fonctionnement et de nouvelles conditions du marché, semble être la plus encline à y répondre aujourd’hui.

Elle encourage les équipes SOC à moins dépendre du modèle traditionnel de sécurité périmétrique et à davantage s’appuyer sur de nouveaux processus et technologies de sécurité.
Ces derniers pouvant être appliqués directement aux ressources de l’entreprise, quelle que soit leur localisation et l’identité du demandeur d’accès. Ce concept stratégique utilisé par les responsables de la sécurité présente une réelle valeur business pour l’entreprise, encore faut-il en respecter les 4 concepts fondamentaux.

1. L’expérience utilisateur

Souvent les derniers à avoir leur mot à dire, mais généralement les premiers à pâtir de dysfonctionnement, les utilisateurs revendiquent le droit à bénéficier d’une expérience simple, intuitive et cohérente. C’est aussi pour cela qu’ils sont les plus difficiles à convaincre.
A l’heure de l’hybridation des SI, ils ne mesurent pas les enjeux techniques de droit d’accès et de sécurité à l’infrastructure IT nécessaires pour que le réseau opère efficacement.

Sans une expérience utilisateur réussie, qui favorisera l’adoption du concept et offrira in fine un meilleur contrôle des ressources accessibles et de la manière d’y accéder, la réussite d’une architecture Zero Trust ne pourra s’opérer.

2. Le lien entre l’identité et sa politique de gestion

L’identité est désormais un périmètre clé qui requiert de comprendre qui sont les utilisateurs, quelles sont leurs exigences en matière d’expérience au quotidien et de savoir comment travailler au mieux avec eux pour maintenir un niveau de garantie d’identité.

Toutefois, la gestion de l’identité demeure complexe. Aux moyens d’identification classiques (authentification unique ou multifactorielle, certificats, empreintes digitales des appareils, voire la biométrie) s’ajoutent désormais tout un ensemble d’informations supplémentaires (heure, lieu et autres ressources auxquelles l’utilisateur peut accéder) pour confirmer l’identité d’un individu et à valider que l’utilisateur est bien celui que l’on croit.

La notion de politique de gestion des identités constitue un autre maillon clé de la chaîne. Sans politique, l’identité n’est pas un élément exploitable du réseau. La combinaison de ces deux éléments crée une expérience puissante à la périphérie du réseau.

Traditionnellement, le contrôle d’accès au réseau (NAC) consiste en un point d’authentification basé sur les ports pour les appareils et les utilisateurs. Le rôle des VPN a été d’agréger ces connexions et d’appliquer une politique à ce dit point d’agrégation. Maintenant que les utilisateurs et les ressources ne résident plus strictement dans les limites de l’environnement de l’entreprise, l’identité et la politique de gestion en regard, doivent se rapprocher encore plus de l’utilisateur et non se situer à la périphérie de l’infrastructure.

En faisant le lien entre la gestion de l’identité et de la politique de gestion des éléments clés de son architecture, l’entreprise offre à ses utilisateurs une connexion omniprésente et une expérience cohérente, quelle que soit l’infrastructure en place. L’entreprise bénéficie d’une infrastructure plus efficace, lui permettant d’exploiter des outils conçus pour le Cloud et de concevoir plus facilement des politiques de sécurité. Son réseau sera ainsi davantage axé sur la fourniture de services aux utilisateurs, l’objectif principal des architectures Zero Trust.

3. L’audit des connexions au réseau

Accompagner numériquement l’utilisateur ou le dispositif IoT dans son parcours à travers le réseau vers et depuis une ressource est vital. L’entreprise ne pourra réellement bénéficier des avantages d’une bonne gestion des identités que si elle est capable de comprendre ses utilisateurs et la manière dont ils interagissent/consomment les données et les actifs sensibles et critiques.

Bien que l’importance des données ne fasse pas explicitement partie de l’approche Zero Trust, la comprendre et savoir où elle se trouve au sein des data center est un élément essentiel du cheminement vers ce modèle. En cartographiant ses data centers et en les associant à son identité et à sa politique d’utilisateur, l’entreprise disposera des points de départ et d’arrivée de ses différents segments de Zero Trust, qui seront la clé de son processus d’audit.

L’audit de ce qui est sécurisé par nature est plus facile à gérer que l’audit de ce qui ne l’est pas. Lorsque l’on part du principe que tout le reste n’est que du “bruit”, il est plus facile de prendre des décisions concernant la manière dont les données sécurisées répondent aux différents cadres de conformité, ce qui notamment simplifie le processus et réduit les coûts.

4. La visibilité

Le Zero Trust exige un nouveau paradigme de visibilité pour le réseau. Si l’on admet que l’expérience est vitale, que l’identité et la politique de gestion des identités le relient aux ressources et que des frameworks et un cryptage vérifiables protègent cette communication, la visualisation du trafic réseau sous forme de flux de paquets à travers le réseau n’apporte pas beaucoup de valeur.

Pour analogie, une vue à 5 000 pieds d’une ville permet d’identifier les schémas de circulation et les points de congestion. Toutefois, elle ne montrera pas l’intégralité du parcours de l’utilisateur. Or, c’est là le plus important. Ce tracé permet de mieux comprendre comment fournir des services de manière plus efficace. Telle est la visibilité apportée par le Zero Trust : bénéficier du contexte de l’expérience de l’utilisateur dans son intégralité (de n’importe où à n’importe quel endroit) pour adapter la livraison des services.

Dans cet esprit, permettre aux entreprises de voir où et comment les utilisateurs accèdent aux applications change la donne. Sans cette visibilité, il devient difficile de retracer les connexions des utilisateurs aux services, d’identifier où le mouvement a eu un impact sur les politiques de sécurité et d’accès, et d’auditer la fourniture des applications et services.

La visibilité fournit le cadre, lui-même essentiel pour optimiser l’investissement et la prestation de services de l’entreprise. In fine, le Zero Trust – avec toutes ses composantes de sécurité et d’architecture – concerne la prestation de services. Dans le contexte, il est important de prendre le temps d’évaluer les besoins, de comprendre clairement les attentes des utilisateurs et de maîtriser les données et d’être sûr de l’option retenue afin de ne pas investir à mauvais escient.


Auteur
En savoir plus 
Director South EMEA
Extreme Networks
Benoit Delautel est Director South EMEA chez Extreme Networks
En savoir plus 

Livres blancs A la Une