L'approche Zero Trust en entreprise : Et si c’était un concept plus sûr

La méthode actuelle de sécurisation des données et ressources en entreprise se base sur la définition d'un périmètre de sécurité (VPN, pare-feu). Ainsi, tout ce qui se trouve à l’extérieur de ce périmètre est suspect. Et tout ce qui accède au réseau de l’entreprise après avoir passé les contrôles d’entrée du périmètre sécurisé est digne de confiance. Mais les acteurs malveillants ont fait évoluer leurs tactiques pour entrer dans ce périmètre de sécurité. Car ils ont compris que le tout est juste d'entrer. Une fois à l'intérieur, plus de contrôle. Tout roule. On remarque donc que cette approche présente des failles et qu'il faut la faire évoluer. L'approche Zero Trust propose un changement de paradigme dans la stratégie de sécurité.


ZERO TRUST : LA CONFIANCE DANS LE RÉSEAU SE MÉRITE

L’approche Zero Trust consiste à suivre ressources et données où qu’elles se trouvent, et part du principe que les menaces sont permanentes en interne et externe. Aussi, tout doit être contrôlé – terminaux, utilisateurs, flux réseau – et ce, à toutes les étapes – authentification, autorisation, transactions, accès aux données.

Le Zero Trust va aussi valider le contexte d’une demande d’accès en croisant des critères tels que le profil de l’utilisateur, le niveau de risque associé à la ressource demandées, le contexte de la demande (géographique, temporel, sécurité du terminal). Ainsi, cette approche approfondit la sécurité en vérifiant, par exemple, que la ressource requise correspond au niveau d’habilitation de l’utilisateur, ou que ce dernier est bien la personne attendue derrière un identifiant.

Le Zero Trust implique une politique de sécurité dynamique et agile, au plus près des ressources. Pour le mettre en œuvre, l’entreprise doit passer par un travail de cartographie de son SI, notamment des systèmes et données à protéger, des comptes et des postes utilisateurs. Il importe donc de bien planifier sa stratégie Zero Trust et ses priorités afin d’articuler les technologies de sécurité qui répondent au plan, sans freiner l’accès des bonnes personnes aux bonnes ressources.


Lieben AHOUANSOU
Analyste en Sécurité