La sécurité Zero Trust est une politique consistant à ne jamais faire confiance à quiconque ou à quoi que ce soit, qu’il s’agisse des utilisateurs, des fournisseurs ou du trafic réseau, y compris au sein de son propre réseau. Il ne s’agit cependant pas d’un ensemble d’outils spécifiques ou d’un type de technologie de sécurité. Il est ici question d’une stratégie de cybersécurité, c’est-à-dire d’un état d’esprit qui sert de fondement à la sécurité moderne. Dans le cadre des politiques Zero Trust, il est considéré que des violations du réseau peuvent se produire à tout moment et que toute activité est supposée être malveillante. L’approche Zero Trust pose la problématique suivante : « Comment protéger au mieux les ressources s’il est impossible de faire confiance au réseau lui-même ? ».
La stratégie Zero Trust fonctionne selon le principe directeur de « ne jamais faire confiance, toujours vérifier ». L’ensemble des utilisateurs, des fournisseurs de plateforme et du trafic réseau sont traités comme des menaces potentielles. Il est donc nécessaire de prendre des mesures supplémentaires pour atténuer les risques.
En termes simples, la mise en œuvre d’une approche Zero Trust signifie que les contenus sensibles ne sont accessibles que par leurs créateurs et leurs destinataires autorisés.
Que cela soit en raison de violations à grande échelle des informations des clients, du partage non sécurisé d’e-mails ou de la divulgation de la propriété intellectuelle de votre entreprise par des services cloud mal configurés ou exposés, il est de plus en plus nécessaire d’adopter une stratégie Zero Trust qui inclut la protection des données. Ce besoin sera d’autant plus important à mesure que le cloud computing et les intégrations comme l’Internet des objets se généraliseront.
Selon le Rapport sur les tendances Internet de 2019, davantage de données sont désormais stockées dans le cloud que sur des serveurs d’entreprise privés ou des appareils grand public, mais moins d’un fournisseur de services cloud sur dix chiffre les données au repos au sein de son service. De même, une étude récente a révélé qu’environ un réseau sur trois a exposé des mots de passe, tandis que trois sur quatre exercent un contrôle médiocre sur les accès aux comptes.
Il est devenu de plus en plus évident que la sécurité offerte par les réseaux, bien que précieuse, n’apporte plus une protection suffisante aux données sensibles, en plus de ne pas prendre en considération les menaces internes. L’approche Zero Trust est parfaitement positionnée pour combler cette lacune, car elle part du principe que la sécurité de votre réseau est insuffisante.
Un réseau Zero Trust traite l’ensemble du trafic comme étant non fiable. Il limite autant que possible l’accès aux données commerciales sécurisées et aux ressources sensibles afin de réduire le risque que des violations surviennent et d’atténuer les dommages causés par celles-ci. À l’inverse, la sécurité d’un réseau traditionnel s’appuie sur la notion de « périmètre sécurisé ». Tout ce qui se trouve à l’intérieur de ce périmètre est considéré comme étant fiable, et c’est le contraire pour tout ce qui se trouve à l’extérieur de celui-ci.
Les entreprises protégeaient leurs ordinateurs en employant des mesures de sécurité de type périmétrique bien avant que ces derniers ne soient mis en réseau. Celles qui disposaient d’ordinateurs centraux pouvaient les protéger simplement en contrôlant qui avait accès à la pièce où ils étaient installés. Une fois qu’elles avaient authentifié un utilisateur (c’est-à-dire qu’elles s’étaient assurées que sa présence était légitime), elles pouvaient lui confier l’accès aux données, aux programmes, etc.
Lorsque les organisations ont commencé à connecter des réseaux, elles se sont mises à employer des techniques de plus en plus sophistiquées pour contrôler les accès. Les identifiants et les mots de passe permettaient d’attribuer aux utilisateurs la responsabilité de leurs actions sur les premiers réseaux informatiques, qui reliaient les chercheurs gouvernementaux et universitaires. Cependant, il est vite devenu évident que les ordinateurs étaient vulnérables aux attaques. Les ingénieurs ont mis au point des pare-feu pour filtrer le trafic entrant dans les réseaux et sortant de ceux-ci, ainsi que l’authentification à plusieurs facteurs et d’autres tactiques de sécurité organisationnelle pour empêcher l’accès des utilisateurs non autorisés.
Cependant, la sécurité périmétrique n’est plus suffisante à l’ère du cloud, car les réseaux sont dynamiques. Si vous vous connectez à un réseau d’entreprise sur votre téléphone, par exemple, votre trafic passe par une antenne-relais ou une connexion Wi-Fi et plusieurs serveurs avant d’atteindre le réseau. Si l’un de ces serveurs est en panne, si votre téléphone a été infecté par un virus ou une application malveillante, ou si un hacker a accès à votre connexion Wi-Fi, votre sécurité périmétrique pourrait lui donner accès à vos données en même temps que vous y accédez.
Un réseau Zero Trust atténue ce risque en traitant l’ensemble du trafic réseau comme étant non fiable. Ainsi, il ne suffit plus aux personnes malveillantes de déjouer les protections pour avoir le champ libre : elles sont soumises à une sécurité réseau rigoureuse à chaque étape de leur tentative d’intrusion.
La grande majorité des entreprises ont conscience qu’il est nécessaire de renforcer la sécurité. Le concept Zero Trust fournit un cadre pour la réalisation des mises à jour de sécurité et des efforts de modernisation, qui vous aide à donner la priorité aux étapes les plus importantes et à intégrer une protection davantage centrée sur les données.
La sécurité Zero Trust nécessite un niveau de visibilité granulaire. Par conséquent, l’implémentation d’un cadre Zero Trust fait plus qu’améliorer la sécurité : cela vient également appuyer vos efforts de gestion et d’accessibilité en matière de données en apportant une visibilité sur les points d’extrémité connectés et les réseaux dont 40 % des organisations ne disposent pas.
Pour établir des politiques Zero Trust, vous devez d’abord identifier et cataloguer les éléments suivants :
Sur la base de ces éléments, vous pouvez établir une évaluation des risques auxquels sont soumises vos données et renforcer la sécurité de manière appropriée. En d’autres termes, en adoptant les méthodes de sécurité Zero Trust, vous procéderez automatiquement à un audit de vos pratiques actuelles en matière de données et à la détermination des actions les plus importantes à entreprendre par la suite. Vous identifierez également l’activité des utilisateurs en lien avec ces données et la limiterez si nécessaire. Cette prise de conscience accrue, ainsi que la mise en place de politiques de gestion plus efficaces, comptent parmi les précieux avantages que confère l’approche Zero Trust.
Malgré les risques qui lui sont associés, il est bien plus efficace d’utiliser le cloud que d’autres solutions dans les contextes impliquant un travail collaboratif et l’utilisation de bases d’utilisateurs dynamiques. L’approche Zero Trust vous aide à profiter des avantages du cloud sans exposer votre organisation à des risques supplémentaires. Par exemple, lorsque le chiffrement est utilisé dans des environnements cloud, les hackers attaquent souvent les données chiffrées par le biais d’un accès par clé, et non en s’en prenant au chiffrement. La gestion des clés est donc d’une importance primordiale.
Par exemple, même si un fournisseur de cloud propose un chiffrement de bout en bout, il est également possible qu’il puisse gérer les clés et y accéder, ce qui implique tout de même de faire confiance dans une certaine mesure à ce prestataire externe. Une approche Zero Trust relative à la gestion des clés exigerait plutôt qu’une organisation donnée gère ses propres clés, ce qui empêcherait qu’un fournisseur de cloud tiers y ait accès.
Il existe une idée fausse selon laquelle le passage à l’approche Zero Trust constitue une contrainte significative vis-à-vis de vos ressources, car ce processus nécessite la suppression d’anciens éléments de votre infrastructure. Il n’est donc pas étonnant que la plupart des organisations n’adoptent pas cette stratégie en raison des coûts qui lui seraient supposément associés. En réalité, la sécurité Zero Trust contribue à réduire vos risques (et vos soucis) sans impliquer de coûts technologiques substantiels. Cet aspect est particulièrement important pour les entreprises qui peinent à composer avec des systèmes informatiques hérités, développés sans beaucoup d’égard à la sécurité et aux contrôles d’accès granulaires au sein du réseau.
En commençant par vos données les plus sensibles, vous pouvez hiérarchiser la mise en œuvre de vos mises à jour de sécurité en les décomposant en étapes simples, telles que la segmentation de vos précieuses informations et applications. Mettre l’accent sur la protection de vos données les plus importantes en premier lieu facilite le passage à l’approche Zero Trust, à la fois en matière de coûts et de temps.
Cette manière progressive d’adopter la sécurité Zero Trust signifie que vous pourrez limiter ou étaler votre investissement dans les nouvelles technologies. Plutôt que de faire l’acquisition d’un tout nouveau système de sécurité pour toutes vos données, il vous est possible d’améliorer vos anciens systèmes avec de nouveaux processus et outils.
Les entreprises déploient généralement des solutions de protection pour messagerie afin de répondre à trois exigences importantes : la conformité réglementaire, la confidentialité de l’entreprise et la protection contre la surveillance. Toute entreprise moderne dispose de données importantes, qu’il s’agisse d’informations personnelles, d’informations de santé protégées ou de données de propriété intellectuelle, qu’elle doit partager avec des collaborateurs de confiance tout en les protégeant des tiers non autorisés. C’est ce que permet la sécurité Zero Trust, en séparant le contenu des e-mails des clés qui le sécurisent tout en chiffrant les données de bout en bout, de sorte que seuls le créateur initial et le client destinataire y aient accès.
Les solutions de chiffrement par portail ne répondent pas à ces exigences. Les portails reposent sur le protocole TLS, qui protège les connexions réseau par lesquelles transitent les e-mails. Cependant, étant donné que les données elles-mêmes ne sont pas protégées, elles peuvent être exposées à de nombreuses reprises avant d’arriver à leurs destinataires. Les données d’entreprise peuvent également être exposées au fournisseur de portail lui-même. Bien que les fournisseurs de portail chiffrent les données au repos au sein de leurs systèmes, ils détiennent également les clés de chiffrement. Ainsi, une attaque qui compromet le réseau du fournisseur traditionnel rend vos données plus vulnérables. Même avec le protocole TLS, vos données sont toujours vulnérables à plusieurs moments de leur cycle de vie.
En l’absence d’un réseau Zero Trust, les solutions de portail ne respectent pas non plus les principales exigences réglementaires, ce qui signifie que l’entreprise n’est pas protégée contre la surveillance non autorisée par les pouvoirs publics. Ces derniers peuvent envoyer des réquisitions judiciaires au fournisseur de cloud et/ou au fournisseur de portail sans en informer l’entreprise, obtenant ainsi l’accès aux données privées de cette dernière sans son consentement.
Alors, comment démarrer ce processus et adopter le modèle Zero Trust ? Voici les étapes clés :
Une fois que le modèle Zero Trust est ancré dans votre système et pleinement adopté par votre service informatique, vous pouvez commencer à renforcer votre sécurité avec des technologies de contrôle des identités et des appareils qui permettront de meilleures prises de décision en matière d’accès. Les services de chiffrement au niveau des données qui incluent un contrôle d’accès granulaire constituent le summum de la sécurité Zero Trust, car ils réduisent les périmètres de sécurité au niveau le plus restreint en protégeant individuellement chaque objet de données.
Une fois ceci en place, vous pouvez commencer à aller au-delà de l’approche Zero Trust et passer au niveau de protection supérieur : le concept Zero Knowledge. Ce dernier va jusqu’à retirer la confiance accordée à vos fournisseurs de sécurité ou de plateforme en séparant vos clés de chiffrement des données chiffrées. Par exemple, si votre fournisseur de messagerie peut accéder au contenu de vos e-mails chiffrés, mais qu’un service comme Virtru gère vos clés de chiffrement, alors aucun fournisseur ne peut voir vos données. Vous bénéficierez de tous les avantages de la technologie cloud, tout en ayant la garantie que seuls les utilisateurs autorisés peuvent accéder à vos données.
En se concentrant sur la sécurité Zero Trust, les entreprises peuvent combler les lacunes liées aux approches fondées sur le périmètre et améliorer leur sécurité avec un chiffrement de bout en bout. Au fur et à mesure que les avantages de la sécurité centrée sur les données deviendront évidents, les entreprises seront de plus en plus à même d’enfin franchir le pas vers un avenir sécurisé par défaut.
Le chiffrement centré sur les données de Virtru contribue à la sécurité des réseaux Zero Trust. Les e-mails et les fichiers sont chiffrés avant qu’ils ne quittent l’ordinateur de l’expéditeur et ne sont déchiffrés que lorsqu’ils atteignent leur destination. Les données sont ainsi protégées où qu’elles soient partagées (aussi bien en transit qu’au repos).
La plateforme Virtru peut utiliser cette même approche pour protéger d’autres applications. Les communications en temps réel, les données Salesforce ou Workday et les fichiers sur site migrés vers le cloud sont chiffrés tout au long de leur parcours pour empêcher toute interception.
Les fonctionnalités de contrôle d’accès de Virtru sont également d’une importance inestimable dans un réseau Zero Trust. Elles permettent aux utilisateurs d’annuler l’accès aux e-mails et aux fichiers, même s’ils ont déjà été consultés, de définir des limites temporelles pour les données sensibles ou d’empêcher les transferts. Ainsi, les utilisateurs peuvent communiquer tout en gardant le contrôle des données.
Vous êtes prêt à commencer à appliquer une sécurité Zero Trust ? Contactez-nous dès aujourd’hui.