Pourquoi est-ce qu’en matière de sécurité Zero Trust, le bon sens traditionnel s’avère insuffisant ?

La transformation de la sécurité Zero Trust : voilà un sujet dont tout le monde parle, mais pour quelle raison ? Cela s’explique par le fait que nous vivons et travaillons désormais dans un monde numérique sans barrières. Et, en l’absence de barrières, les responsables cyber doivent repenser toute leur stratégie pour défendre les entreprises contre les attaques et sécuriser les données importantes.

Toutefois, que se dit-il exactement à propos de l’approche Zero Trust ? Plus important encore, que n’entend-on jamais à son sujet ? Quels sont les aspects essentiels de la sécurité Zero Trust auxquels il ne serait pas accordé d’attention ?

En matière de cybersécurité, le bon sens traditionnel était jusque-là suffisant, mais pour nous adapter à un environnement où les menaces s’aggravent rapidement, nous devons penser différemment. Nous devons penser au-delà du statu quo.

Les vieilles habitudes ont la vie dure

L’adoption rapide des infrastructures de cloud public signifie que la plupart des entreprises ont migré une partie ou la totalité de leurs opérations informatiques vers le cloud. De plus, la pandémie a fondamentalement changé la nature du travail lui-même : désormais, chaque service informatique est obligé d’assurer la prise en charge de la réalisation à distance des activités. En termes simples, le concept de périmètre informatique a disparu, ce qui a fait par la même occasion tomber la barrière assurant la sécurité. Ainsi, partout dans le monde, des entreprises revoient activement leur approche de la cybersécurité.

Les vieilles habitudes ont toutefois la vie dure.

Bien qu’ils vivent dans un monde sans barrières, la plupart des professionnels du domaine cyber définissent leurs priorités et agissent selon un état d’esprit centré sur le concept du périmètre. En conséquence, ils ont tendance à concentrer la majorité de leur temps et de leur énergie sur un seul aspect : éloigner les personnes malveillantes de leurs réseaux et de leurs systèmes. Pour ce faire, ils investissent massivement dans l’implémentation de périmètres reposant sur l’identité qui intègrent l’authentification unique et l’authentification à plusieurs facteurs. En outre, ils investissent également dans le renforcement de la sécurité des points d’extrémité. Leurs dépenses ne s’arrêtent pas là, puisqu’ils consacrent également du budget à l’implémentation de solutions et de services de sécurité réseau de pointe tels que les passerelles d’accès cloud sécurisé (CASB) dans le but de procéder à l’intégration d’applications SaaS à l’intérieur du périmètre virtuel. En d’autres termes, à ce stade précoce du parcours de transformation de la sécurité Zero Trust, l’état d’esprit dominant en matière de cybersécurité consiste toujours à défendre contre les menaces externes la surface d’attaque numérique qui ne cesse de s’étendre, plutôt qu’à sécuriser les objets de données sensibles situés sur la surface de protection numérique.

L’insuffisance du bon sens traditionnel

Dans l’économie moderne, les organisations capables de collecter, d’analyser et d’exploiter d’immenses quantités de données bénéficient d’un avantage conséquent par rapport à leurs concurrents et sont facilement en mesure d’évoluer rapidement et de créer de la valeur. Cependant, ces entreprises, qui détiennent d’immenses quantités de données sensibles, doivent faire face à des frais généraux conséquents, liés notamment à la conformité réglementaire, aux opérations d’ingénierie, à la gestion des risques relatifs à la sécurité, et au devoir considérable découlant de la responsabilité de protéger les informations sensibles et privées concernant les clients, les employés, et les partenaires commerciaux qui leur ont été confiées.

De plus, comme les données sont le moteur de toute entreprise, les organisations se retrouvent constamment à les partager avec d’autres individus, avec ou sans contrôles appropriés. De la même manière, les entreprises doivent se rendre à l’évidence que des données sensibles, détenues par d’autres personnes, sont fréquemment partagées avec elles.

Aujourd’hui, le bon sens traditionnel préconise que les responsables cyber se concentrent avant tout sur la défense de la surface d’attaque numérique contre les menaces externes. Une telle réflexion n’est pas erronée. Cependant, elle est quelque peu limitée, car cette approche diminue l’importance cruciale qu’il y a à sécuriser les données elles-mêmes, qui pénètrent et quittent constamment votre surface de protection numérique.

Au-delà de l’approche Zero Trust classique

Dans ce contexte, les responsables de la cybersécurité seraient bien avisés de faire évoluer leur réflexion relative à la sécurité Zero Trust au-delà du bon sens traditionnel et de la simple défense de leur surface d’attaque qui ne cesse de s’étendre. Eux et leurs équipes doivent se mettre au défi d’envisager l’utilisation de solutions innovantes conçues pour sécuriser la surface de protection d’organisations où les données sensibles sont utilisées et partagées de façon concrète, c’est-à-dire en circulant quotidiennement au sein des entreprises de manière entrante et sortante.

Pour mener facilement une réflexion allant au-delà du bon sens traditionnel, les responsables de la cybersécurité peuvent se poser trois questions essentielles, ainsi que les soumettre à leurs équipes :

1. Comment régir les données sensibles qui nous appartiennent et que nous possédons en interne ?
2. Comment régir les données sensibles qui nous appartiennent, mais que nous ne possédons plus en interne car nous les avons partagées en externe ?
3. Comment régir les données sensibles qui ont été partagées avec nous, mais qui appartiennent à d’autres individus ?

Accès aux données Zero Trust (ZTDA) dans le contexte des workflows entrants

En matière d’accès aux données Zero Trust (ZTDA), le bon sens traditionnel recommande d’employer l’approche en cinq points suivante pour gérer les risques :

• Tout d’abord, utilisez la micro-segmentation dans les centres de données et les environnements cloud pour séparer les charges de travail.
• Ensuite, adoptez le principe du moindre privilège pour permettre à chaque utilisateur d’accéder uniquement aux données dont il a besoin.
• Troisièmement, appliquez des contrôles d’accès fondés sur les rôles (RBAC) pour vous assurer que les bonnes personnes ont accès aux bonnes données.
• Après cela, tirez parti du langage SAML (Security Assertion Markup Language) et de l’authentification unique (SSO) pour réduire le recours à la saisie des mots de passe et la prépondérance des comportements à risque chez les utilisateurs.
• Enfin, tirez parti de l’authentification à plusieurs facteurs (MFA) pour renforcer davantage l’efficacité des processus d’authentification et d’autorisation.

En effet, si votre unique mission est d’assurer la gouvernance des données sensibles qui appartiennent à votre organisation et qu’elle possède en interne, il est logique de suivre le bon sens traditionnel et de consacrer tout votre temps et toute votre énergie à déterminer quelles personnes et quels appareils peuvent accéder à quelles données sur un réseau virtuellement sécurisé par le biais de workflows entrants.

Contrôle des données Zero Trust (ZTDC) dans le contexte des workflows dynamiques

Malheureusement, les données ne sont pas statiques. Elles sont dynamiques, constamment en circulation et en évolution, vouées à être libres afin d’optimiser leur potentiel à façonner des stratégies et éclairer des décisions importantes. Vous ne pouvez pas vous permettre de les enfermer. Vous ne pouvez pas non plus vous permettre d’en perdre le contrôle.

Ainsi, si votre mission est d’assurer la gouvernance de l’ensemble de la surface de protection et de toutes les formes de données sensibles, y compris les données partagées en externe avec des tiers, il convient alors de sortir des sentiers battus. Pour ce faire, il est judicieux de s’intéresser à des contrôles Zero Trust tels que le format de données approuvé (TDF), qui est adapté pour faciliter une collaboration sécurisée, afin que vous puissiez garantir l’accès UNIQUEMENT aux identités prévues, même lorsque les données ont été partagées en externe.

Pensez différemment : adoptez le format de données approuvé (TDF)

Le TDF est un moyen très rapide et abordable pour toute organisation de faire évoluer ses contrôles de sécurité Zero Trust de sorte qu’ils incluent les ressources d’informations communes, comme les e-mails et les fichiers, qui contiennent souvent des données sensibles et à risque.

Le TDF s’appuie sur un protocole de chiffrement de données de niveau militaire pour envelopper les objets de données dans une couche de sécurité qui reste associée aux données, et ce, où qu’elles circulent. Nous appelons cette approche le contrôle des données Zero Trust (ZTDC), car elle vous donne un contrôle total sur vos données à tout moment, même après qu’elles ont quitté votre organisation. Vous conservez la propriété et le contrôle de ces données tant qu’elles existent, ce qui vous permet de toujours garantir que seules les entités prévues y ont accès.

Le graphique ci-dessous présente comment cette approche fonctionne. Le côté droit représente à quoi ressemble l’approche Zero Trust d’après le bon sens traditionnel : les contrôles d’identité et de point d’extrémité, associés à des réseaux sécurisés, fonctionnent de concert pour déterminer quelles personnes et quels appareils peuvent accéder à quelles applications et données avec le moins d’autorisations possible.

Cependant, c’est à gauche qu’est représenté le véritable potentiel de l’approche. Il s’agit de la partie essentielle de la stratégie Zero Trust qui est souvent absente des réflexions traditionnelles. On y trouve vos workflows collaboratifs et sortants, et c’est là que les solutions reposant sur le TDF vous offrent une capacité unique à minimiser les risques en sécurisant les données granulaires intégrant et quittant votre entreprise de façon dynamique par le biais des e-mails, des fichiers et des applications SaaS. Vous pouvez appliquer une politique, associer une identité, chiffrer les données, authentifier et autoriser un destinataire prévu, déchiffrer facilement les données et garder le contrôle sur celles-ci partout où elles circulent et aussi longtemps qu’elles existent.

De cette façon, le TDF complète vos initiatives Zero Trust existantes et amplifie leur portée. Il parvient à ce résultat en créant un cercle vertueux continu de contrôle des politiques, dans lequel vous pouvez permettre à votre organisation de collaborer avec d’autres individus et de mener facilement ses activités sans jamais perdre le contrôle des informations sensibles.

Avec les solutions reposant sur le TDF, il suffit aux utilisateurs de cliquer sur un bouton pour partager en toute sécurité des données sensibles au sein d’e-mails et de fichiers. De plus, votre organisation peut importer en toute sécurité des données client dans des applications logicielles en tant que service (SaaS) essentielles, ou en exporter depuis celles-ci. Enfin, le TDF peut facilement vous aider à gérer les flux de données entrants et sortants circulant dans une vaste gamme d’appareils connectés.

Alors que le risque cyber continue de croître de façon exponentielle, la mise en œuvre des transformations de la sécurité Zero Trust ne pourra que devenir un impératif de plus en plus important. Les solutions reposant sur le TDF vous permettent de maintenir un contrôle des données de type Zero Trust sur vos workflows entrants et sortants, en protégeant l’intégralité de votre surface de protection et en vous donnant les moyens de partager des données en toute confiance.