Cybersécurité

Zero Trust Security

Zero Trust Security

La confiance zéro est un modèle de sécurité basé sur le principe du maintien de contrôles d’accès stricts et de la non confiance par défaut à toute personne, même celles qui se trouvent déjà dans le périmètre du réseau.

Qu’est-ce que la sécurité « zero trust » ?

La sécurité « zéro confiance » est un modèle de sécurité informatique qui exige une identité verification stricte pour chaque personne et chaque appareil qui tente d’accéder aux ressources d’un réseau privé, qu’il soit situé à l’intérieur ou à l’extérieur du périmètre du réseau. Aucune technologie spécifique n’est associée à l’architecture de confiance zéro ; il s’agit d’une approche holistique de la sécurité des réseaux qui intègre plusieurs principes et technologies différents.

La sécurité des réseaux informatiques traditionnels est basée sur le concept de château et de fossé. Dans ce système, il est difficile d’obtenir un accès de l’extérieur du réseau, mais tout le monde à l’intérieur du réseau est fiable par défaut. Le problème de cette approche est qu’une fois qu’un attaquant a accès au réseau, il a le champ libre sur tout ce qui se trouve à l’intérieur.

Cette vulnérabilité des systèmes de sécurité de type château et fossé est exacerbée par le fait que les entreprises ne disposent plus de leurs données à un seul endroit. Aujourd’hui, les informations sont souvent réparties entre les fournisseurs de services en nuage, ce qui rend plus difficile l’instauration d’un contrôle de sécurité unique pour l’ensemble d’un réseau.

La sécurité de confiance zéro signifie que personne n’est fiable par défaut, que ce soit à l’intérieur ou à l’extérieur du réseau, et qu’une vérification est requise de la part de toute personne essayant d’accéder aux ressources du réseau. Il a été démontré que cette couche de sécurité supplémentaire permet d’éviter les violations de données. Une étude récente parrainée par IBM a démontré que le coût moyen d’une seule violation de données est de plus de 3 millions de dollars. Compte tenu de ce chiffre, il n’est pas surprenant que de nombreuses organisations soient désormais désireuses d’adopter une politique de sécurité sans confiance.

Quels sont les grands principes et les technologies qui sous-tendent la sécurité « zero trust » ?

La philosophie qui sous-tend un réseau de confiance zéro suppose qu’il y a des attaquants à l’intérieur et à l’extérieur du réseau, de sorte qu’aucun utilisateur ou machine ne doit être automatiquement mis en confiance.

Un autre principe de la sécurité de la confiance zéro est l’accès au moindre privilège. Cela signifie qu’il faut donner aux utilisateurs uniquement l’accès dont ils ont besoin, comme un général de l’armée qui donne aux soldats des informations selon le principe du besoin de savoir. Cela permet de réduire au minimum l’exposition de chaque utilisateur aux parties sensibles du réseau.

Les réseaux de confiance zéro utilisent également la microsegmentation. La microsegmentation est la pratique consistant à diviser les périmètres de sécurité en petites zones afin de maintenir un accès séparé pour des parties distinctes du réseau. Par exemple, un réseau dont les fichiers vivent dans un seul centre de données et qui utilise la microsegmentation peut contenir des dizaines de zones sécurisées séparées. Une personne ou un programme ayant accès à l’une de ces zones ne pourra accéder à aucune des autres zones sans autorisation séparée.

L’authentification multifactorielle (AMF) est également une valeur fondamentale de la sécurité « zero trust ». L’AMF signifie simplement qu’il faut plus d’un élément de preuve pour authentifier un utilisateur ; la simple saisie d’un mot de passe ne suffit pas pour obtenir l’accès. Une application courante de l’AMF est l’autorisation à deux facteurs (2FA) utilisée sur des plateformes en ligne populaires comme Facebook et Google. En plus de saisir un mot de passe, les utilisateurs qui activent la 2FA pour ces services doivent également saisir un code envoyé à un autre appareil, tel qu’un téléphone portable, fournissant ainsi deux preuves qu’ils sont bien qui ils prétendent être.

En plus des contrôles on user access, la confiance zéro exige également des contrôles stricts sur l’accès aux appareils. Les systèmes de confiance zéro doivent surveiller le nombre d’appareils différents qui tentent d’accéder à leur réseau et s’assurer que chaque appareil est autorisé. Cela permet de réduire davantage la surface d’attaque du réseau.

Quelle est l’histoire de la sécurité « zero trust » ?

Le terme « confiance zéro » a été inventé par un analyste de Forrester Research Inc. en 2010, lorsque le modèle de ce concept a été présenté pour la première fois. Quelques années plus tard, Google a annoncé qu’il avait mis en place une sécurité de confiance zéro sur son réseau, ce qui a suscité un intérêt croissant pour l’adoption de ce concept au sein de la communauté technologique.

Ecrire un commentaire