Par le passé, la sécurité informatique s’avérait relativement simple. Les organisations s’appuyaient sur des contrôles de sécurité centrés sur des périmètres, tels que les pare-feu, les systèmes de détection d’intrusion et les réseaux privés virtuels (VPN) pour assurer la gestion des accès aux réseaux et aux données. Cependant, avec le passage généralisé au cloud computing, le périmètre informatique au sens traditionnel du terme a disparu et les problématiques en matière de sécurité ont fondamentalement évolué.
Les avantages du cloud computing sont nombreux : il offre notamment une évolutivité, une flexibilité et une rentabilité accrues. Toutefois, l’avènement des solutions cloud va également de pair avec l’émergence de nouveaux défis en matière de sécurité, les données elles-mêmes étant désormais stockées à divers emplacements au sein de différentes plateformes cloud, consultées par de multiples appareils, et couramment partagées en externe avec des collaborateurs tiers.
Par conséquent, les entreprises de tous les secteurs sont confrontées à un dilemme complexe en matière de sécurité : elles peuvent soit privilégier la « gestion des risques » et strictement limiter la capacité des employés à partager des données confidentielles, soit privilégier la « productivité » et permettre aux employés de partager des informations plus librement afin de mener à bien leurs missions.
La solution à ce dilemme consiste à faire évoluer la gouvernance en matière d’information vers une approche employant à la fois l’approche Zero Trust et des contrôles de sécurité centrée sur les données.
Les deux font la paire : sécurité Zero Trust et sécurité centrée sur les données
La sécurité Zero Trust fonctionne selon le principe qu’il ne faut automatiquement faire confiance à aucun appareil, utilisateur ou réseau et que ceux-ci doivent tous être soumis à une vérification avant de se voir accorder l’accès aux ressources. Cette approche permet de minimiser le risque posé par les menaces internes et l’accès non autorisé aux données. La sécurité centrée sur les données, pour sa part, a pour priorité de protéger les données elles-mêmes plutôt que le périmètre du réseau. Cette approche consiste à chiffrer les données confidentielles, à en contrôler l’accès et à surveiller leur utilisation pour détecter toute activité suspecte.
L’association de ces deux approches de sécurité permet la mise en place d’un système plus robuste permettant de protéger simultanément les données que nous détenons en interne et celles que nous partageons couramment en externe.
Les lacunes de la sécurité Zero Trust employée seule
À ce jour, la grande majorité des initiatives de transformation relatives à la sécurité Zero Trust se sont concentrées exclusivement sur la gestion des identités, des terminaux, des réseaux et des applications, qui jouent un rôle essentiel dans la protection de l’accès aux données que nous détenons en interne. Malheureusement, l’adoption de pratiques de sécurité Zero Trust ne suffit pas à résoudre le dilemme relatif au partage des informations que nous avons présenté ci-dessus. Pourquoi ? Cela s’explique par le fait qu’il très différent d’assurer la protection des informations confidentielles que nous détenons en interne que d’en faire de même pour celles que nous partageons en externe.
C’est pourquoi la sécurité centrée sur les données, accompagnée de contrôles d’accès fondés sur des attributs (ABAC), constitue une addition de choix à la sécurité Zero Trust. Plus précisément, la sécurité centrée sur les données prévient les fuites de données et favorise la collaboration en permettant d’exercer un contrôle en temps réel sur les données confidentielles, même après leur partage en externe.
Par ailleurs, l’adoption de normes ouvertes, telles que le format de données approuvé (TDF), peut encore rendre la sécurité centrée sur les données plus efficace. Le TDF, une norme ouverte se rapportant à l’encapsulation sécurisée des données sensibles, permet aux organisations de garder le contrôle sur leur accès et leur utilisation tout en garantissant l’intégrité et la confidentialité de leurs informations. En combinant la sécurité centrée sur les données, les contrôles d’accès fondés sur des attributs et la norme TDF, il est possible de bénéficier d’une approche granulaire et dynamique du partage de l’information, qui favorise la collaboration sans compromettre la sécurité.
Bénéficier de tous les avantages sans les inconvénients : c’est plus simple qu’on ne le croit
À ce stade, vous vous dites probablement ceci : « Combiner l’approche Zero Trust et la sécurité centrée sur les données semble formidable, mais également complexe et coûteux. » Toutefois, les exemples d’utilisation quotidienne d’organisations comme AFWERX (l’un des organes de direction technologique du laboratoire de recherche de l’US Air Force), Zwift, Platte Valley Bank, et Omada Health démontrent que la vérité est tout autre. En effet, associer l’approche Zero Trust à des contrôles de sécurité centrés sur les données est bien plus simple que vous ne pourriez le croire.
Comment cela est-il possible ? Il se trouve que les contrôles de sécurité centrée sur les données ont été intégrés de façon élégante directement au sein d’outils tels que Microsoft Outlook, Google Gmail, Google Drive, ainsi que dans une riche palette d’applications SaaS que la grande majorité des professionnels utilisent au quotidien pour accomplir leurs fonctions. Cette large intégration à des outils très couramment employés permet l’adoption à grande échelle des pratiques de sécurité centrée sur les données. Vous pouvez ainsi avoir recours à cette approche de la sécurité en complément des initiatives de sécurité Zero Trust.
