Le concept de Zero Trust n’élimine pas seulement les effets autrefois indésirables de la connectivité réseau tel que le mouvement latéral. Il comporte également un certain nombre d’effets positifs annexes.
Dans le cadre de leur transition numérique, de nombreuses entreprises envisagent de repenser la manière dont elles établissent les relations entre les utilisateurs, les données et les appareils.
La norme en matière de connectivité s’est longtemps limitée à offrir un accès réseau accessible à tous, de manière uniforme. Cependant, la sécurité est devenue l’enjeu majeur : l’accès a été limité, avec la mise en place de politiques spécifiques aux applications, et sa gestion s’appréhende désormais d’un point de vue “overlay”, le réseau devenant une couche de transport banalisé.
Ainsi aujourd’hui, les données, les applications et les utilisateurs sont en dehors de l’infrastructure réseau de l’entreprise. Cela ne fait qu’aggraver le problème d’accès, car les entreprises tentent désespérément de démêler les ficelles pour savoir qui a besoin de se connecter à quoi et comment. Autre complexité : ce ne sont pas uniquement les interactions entre individus, mais également les interactions entre machines et entre applications (Legacy ou Cloud) qui doivent désormais être prises en compte. Et ces exigences de connectivité ne peuvent être abordées de la même manière.
Dans une démarche de simplification du réseau, bon nombre d’entreprises ont recours au Zero Trust pour sécuriser les connexions entre les personnes et leurs appareils. Le réseau est ainsi réduit à une couche sous-jacente (quasiment négligée), sur laquelle les entreprises créent différentes connexions à l’aide de solutions logicielles.
Plutôt que d’accorder un large accès au réseau, l’approche Zero Trust permet aux entreprises d’assurer un accès sécurisé via Internet uniquement aux applications, aux instances et aux machines nécessaires à chaque collaborateur.
On observe deux catégories d’applications auxquelles les entreprises doivent donner l’accès.
La première permet aux salariés d’accéder aux applications SaaS ou publiées directement via Internet (et donc exposées). La seconde leur permet d’accéder aux ressources internes/privées hébergées dans les data centers ou dans les cloud public (IaaS) et qui sont utilisées par un utilisateur, dont on connaît l’identité (interne ou externe), mais toujours par l’intermédiaire du réseau Internet.
Étant donné que le réseau interne de l’entreprise devient moins nécessaire, voire quasiment superflu, dans les deux scénarios, le modèle Zero Trust sert non seulement à la sécurité, mais également à la connectivité et à réduire ses coûts.
Réduire la complexité de l’infrastructure
Afin de réduire davantage la complexité des data centers et des infrastructures traditionnels, de nombreuses entreprises commencent à fermer leurs data centers et à transférer leurs ressources dans le cloud public. Non seulement parce qu’il est plus simple de gérer les infrastructures hébergées dans le cloud, mais également car ce modèle confère aux entreprises la souplesse nécessaire pour adapter leurs architectures en fonction de leurs besoins.
Les organisations optant pour le SaaS paient un abonnement ; l’équipe informatique n’a donc plus à gérer manuellement les mises à jour. Il en va de même pour le rack / stack / l’alimentation des centres de données sur site des entreprises : une fois que les applications ont migré vers le cloud, les fournisseurs de services se chargent de gérer l’ensemble des ressources informatiques.
Aujourd’hui, la plupart des entreprises s’appuient encore sur de nombreux équipements pour acheminer leur trafic est-ouest vers les succursales et les filiales, mais c’est un modèle qui devient progressivement obsolète. Le passage à des infrastructures basées sur le cloud et à des modèles de travail hybrides permet aux collaborateurs de travailler en toute liberté et ce depuis n’importe où.
Dans un contexte de travail hybride, les utilisateurs ont simplement besoin d’un médiateur de confiance pour les relier aux applications dont elles ont besoin. Ils se servent de l’identité pour mettre en place un accès basé sur des politiques au niveau de l’application. Dans cette perspective, le réseau traditionnel devient obsolète.
Les futurs acteurs du marché s’adapteront à ce nouveau mode de connectivité beaucoup plus facilement que ceux déjà établis. Dans la mesure où ils n’ont jamais eu à mettre en place d’infrastructure matérielle pour démarrer leur activité, ils s’appuient par défaut sur Internet.
Pour rester compétitives, les entreprises en place devront donc leur emboîter le pas et abandonner une architecture réseau centrique pour une architecture cloud centrique.
Les problématiques de sécurité dans le monde de demain
Pendant trop longtemps, bon nombre d’entreprises ont abordé la complexité liée à la sécurité et à la mise en réseau comme s’il s’agissait d’un simple problème à régler. La connectivité réseau a longtemps rendu service aux équipes informatiques, mais elle a également eu des effets très préjudiciables sur les entreprises, car elle permettait notamment aux attaquants de propager facilement leurs malwares.
Malgré ce constat, une certaine inertie persiste à l’heure de s’affranchir de la connectivité liée à l’infrastructure physique. C’est pourquoi un changement d’état d’esprit au sein de la direction est essentiel pour que cette transformation se concrétise. Il est essentiel d’admettre que les nouvelles infrastructures basées sur le cloud présentent des méthodes de connexion indépendantes du réseau traditionnel. Parallèlement, les responsables de la sécurité informatique devront accepter le fait qu’il n’existe aucun dispositif physique associé à la frontière du réseau pour assurer une sécurité spécifique.
Par ailleurs, les équipes réseaux et celles en charge de la sécurité ne partageant pas toujours les mêmes priorités, une collaboration plus étroite entre elles sera un excellent point de départ pour apaiser les préoccupations liées à la sécurité dans un monde où les boitiers ne sont plus la norme. Néanmoins, une partie de la solution réside également dans une meilleure compréhension au sein des deux équipes concernant l’importance de l’identité pour déterminer l’accès, plutôt que de se restreindre uniquement à la connectivité réseau.
Le modèle Zero Trust peut à la fois servir ces deux objectifs : la sécurité et la connectivité. Une plateforme Zero Trust basée sur le cloud permet en effet aux utilisateurs d’accéder aux applications de n’importe où tout en évitant l’exposition directe à Internet et, par conséquent, aux cybercriminels.
Les microtunnels externes entre l’utilisateur et le médiateur de confiance, et entre le médiateur de confiance et l’application concernée sont reliés par la plateforme de sécurité sur la base des politiques et de l’identité de l’utilisateur. Cela signifie que seuls les utilisateurs autorisés et identifiés ont accès à l’application requise à un niveau granulaire. Grâce à ce mécanisme de sécurité basé sur le Zero Trust, les applications restent invisibles sur Internet et à l’abri des regards indiscrets des cybercriminels : impossible pour eux d’attaquer ce qu’ils ne peuvent pas voir sur Internet.
Le concept de Zero Trust n’élimine pas seulement les effets autrefois indésirables de la connectivité réseau tel que le mouvement latéral. Il comporte également un certain nombre d’effets positifs annexes.
D’abord et avant tout, il permet aux utilisateurs de travailler en tout lieu et d’accéder aux données et aux applications en toute sécurité, quel que soit l’endroit où elles sont hébergées. De plus, en offrant une voie d’accès directe sans détour nécessaire par le réseau d’entreprise, le Zero Trust a un effet positif sur l’expérience utilisateur en réduisant les temps de latence (d’autant plus lors d’une connexion à des Service Edge qui combinent le traitement informatique et l’accès local à de l’Edge Computing). Ainsi, qu’un collaborateur travaille depuis son domicile ou depuis son bureau, ou qu’il passe de l’un à l’autre, l’expérience utilisateur (et le niveau de sécurité) reste la même.
Simplifier les politiques d’accès grâce à l’IA
Définir les droits et les politiques d’accès fait partie des défis auxquels les entreprises sont confrontées. Afin de savoir qui est autorisé à accéder à quoi au sein d’une infrastructure, il est nécessaire de connaître le paysage applicatif ainsi que les différents groupes d’utilisateurs et leurs fonctions au sein de l’entreprise.
Une entreprise de 10 000 utilisateurs aura la possibilité de regrouper initialement ses collaborateurs par fonctions ou par départements. L’essentiel de la tâche consistera ensuite à créer des exceptions en ce qui concerne l’accès nécessaire pour les individus, en se basant sur des besoins interfonctionnels ou sur des rôles spécifiques au sein de l’entreprise. Dépeindre le paysage applicatif utilisé au sein d’une entreprise constitue en revanche une tâche plus complexe.
C’est à ce stade que l’Intelligence Artificielle entrera en jeu, notamment pour générer les données commerciales requises qui serviront de fondement à l’élaboration des politiques. C’est la capacité à créer des cartes détaillées des connexions et des schémas d’utilisation des logiciels qui distingue un processus automatisé d’une simple gestion manuelle par les administrateurs. Sur la base de ces informations, l’IA peut être utilisée pour générer un premier ensemble de politiques à soumettre à l’examen humain pour accélérer le processus de sécurité basé sur le Zero Trust.
Quelles perspectives pour l’industrie ?
En somme, l’avenir de la connectivité évoluera vers un état sans réseau, le calendrier variant selon l’industrie concernée. Certaines entreprises sont déjà en mesure de se passer de leur data center, tandis que d’autres dépendront encore pendant un certain temps d’applications fondamentales exécutées en interne, ce qui entraînera l’existence de modèles hybrides. Toutes les entreprises partageront cependant un point commun : elles seront capables de reconnaître les avantages de la migration de leurs processus vers le cloud.
En réaction aux coûts élevés, à la complexité administrative ou au manque de flexibilité, de plus en plus d’entreprises montrent un intérêt grandissant pour l’abandon total de leurs data centers. Celles ayant déjà franchi le pas ont déjà vécu l’expérience de la connectivité sans réseau, avec l’avantage de pouvoir se connecter à tout moment, depuis n’importe où, à l’aide de n’importe quel appareil, et ce en toute sécurité. C’est là l’essence-même du Zero Trust.
