La gouvernance des données au service du Zero Trust (Confiance Zéro)

Le Zero Trust repose sur l’idée que le risque est omniprésent, à l’extérieur ou à l’intérieur de l’entreprise. Il reprend trois principes :

– La violation de sécurité jusqu’à preuve du contraire. Il présuppose que l’utilisateur ne fait pas partie de l’entreprise.

– La vérification explicite. Elle consiste à vérifier l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service demandé, l’application, la donnée elle-même.

– L’accès à privilège minimum. Les accès utilisateurs sont cloisonnés entre eux, réduits au juste à  temps et juste assez.

Le Zero Trust, un modèle qui comporte des failles

La première concerne son architecture complexe à mettre en place. Il nécessite une mise en œuvre progressive et suppose le déploiement de solutions de sécurité à intégrer dans un système global de défense. Cela peut engendrer des erreurs de configuration, failles exploitables par les cyberattaquants.

La seconde réside dans le faux sentiment de sécurité créé au sein des différents espaces de travail collaboratifs. En effet, une fois l’utilisateur autorisé à accéder, les données peuvent être partagées avec des utilisateurs externes.

La politique de gouvernance comme surcouche de protection

C’est là qu’entre en jeu la politique de gouvernance des données comme une surcouche de protection. Elle agit comme un conteneur – le workspace – entre la donnée et l’utilisateur. La gouvernance des espaces collaboratifs complète le modèle Zero Trust grâce à cinq grands principes :

• Le recensement des données sensibles

Les données sont classées selon leur degré de sensibilité. Des paramètres de protection y sont rattachés pour se prémunir des accès inappropriés, des partages non autorisés, etc.

• La sécurisation des échanges avec l’externe

Les échanges avec l’externe sont sécurisés, avec des accès spécifiques de type “invité”. Des outils tiers de surveillance des connexions améliorent la sécurisation des espaces de travail numérique.

• La délégation de l’administration de certains services au service informatique

La mise en place d’accès à privilège minimum à certaines applications peut réduire l’efficacité des équipes. La délégation de la gouvernance de certaines applications ou certains accès au service IT limite ces effets.

• L’adaptation de la stratégie de gouvernance à la taille de l’entreprise.
• L’instauration de mécanismes de suivi et d’évaluation. Maintenir une gouvernance efficace impose de prendre en compte les retours utilisateurs, les nouvelles attentes.

Appliquer le modèle Zero Trust peut s’avérer ardu et suppose de s’appuyer sur des experts. La politique de gouvernance de données apporte un filet supplémentaire de sécurité aux entreprises : elle catégorise les données selon leur sensibilité et compartimente les différents espaces de travail. Faute de gouvernance, la donnée a tôt fait de passer du statut d’actif au statut de risque.

En savoir plus sur les solutions Zero Trust d’AvePoint.