Security Defined Cybersecurity EncyclopediaEn quoi consiste la sécurité zero-trust ?

Sécurité Zero Trust

En quoi consiste le
Zero Trust ?

Le Zero Trust est un modèle de sécurité qui repose sur le principe qu'aucun utilisateur n'est totalement digne de confiance et n'est autorisé à accéder aux actifs de l'entreprise avant la vérification de sa légitimité et ses autorisations. Ce modèle met en place un « accès basé sur des droits minimums », permettant ainsi de restreindre l'accès des utilisateurs ou groupes d'utilisateurs qu'aux ressources dont ils ont besoin, rien de plus. En outre, les utilisateurs autorisés à accéder au réseau, aux données et à d'autres actifs doivent continuellement prouver leur identité.

Le Zero Trust a été créé en réponse à l'augmentation exponentielle du nombre de travailleurs mobiles et distants, à la tendance du BYOD (Bring Your Own Device), au Shadow IT et à la croissance rapide des services cloud. Si ces tendances ont été bénéfiques pour les utilisateurs et ont apporté plus de flexibilité aux équipes informatiques, elles ont également réduit la capacité des entreprises à contrôler et à sécuriser l'accès aux données et aux ressources du réseau. Avec le Zero Trust, les entreprises reprennent le contrôle et renforcent leur sécurité, dans un contexte où le périmètre du réseau est en train de disparaître.

Considérez votre réseau et votre infrastructure de données comme un bâtiment avec des pièces dont les portes sont verrouillées. Chaque serrure possède sa propre clé et vous n'accordez aux utilisateurs l'accès qu'à la pièce contenant les ressources dont ils ont besoin et rien d'autre. Voici ce qu'est en un mot le Zero Trust.

qu'est-ce que la sécurité Zero Trust ?


Blog: Premiers pas avec le Zero Trust
White Paper: Pratique de pointe du Zero Trust


 

Une brève histoire du Zero Trust

L'expression « Zero Trust » a été inventée par John Kindervag, analyste chez Forrester, dans le cadre de ses recherches. Il a expliqué l'importance de ne pas faire confiance au trafic réseau, quelle que soit sa provenance. Ce concept est né dans le domaine de la sécurité des réseaux, et à juste titre, puisque la plupart des entreprises exploitaient leurs propres réseaux internes et capacités de stockage de données à l'époque où le concept a vu le jour.

Toutefois, de nombreuses notions exprimées dans le cadre des réseaux Zero Trust trouvent leur origine dans un concept beaucoup plus ancien, proposé en 2004 par le Jericho Forum, appelé dépérimétrisation. La sécurité du périmètre est assurée à l'aide d'un pare-feu et de mesures de protection afin d'empêcher l'intrusion d'utilisateurs non autorisés. Le problème avec cette stratégie est l'absence de mesures de protection lorsque les intrus parviennent à franchir le périmètre. La dépérimétrisation est une stratégie de sécurité qui consiste à retirer la « limite » de sécurité standard séparant un réseau de l'Internet et à créer à la place un système de sécurité segmenté et multicouche basé sur le chiffrement et l'authentification. L'architecture Zero Trust (ZTA) offre une sécurité multicouche grâce à une réauthentification constante et à une méfiance inhérente à l'égard de l'ensemble des appareils, utilisateurs et actions, qu'ils se trouvent ou non dans le périmètre.

 

L'avenir du Zero Trust

Aujourd'hui, le Zero Trust a évolué pour devenir davantage un concept général qu'une architecture spécifique à un réseau. Le concept gagne du terrain parmi tous les acteurs du secteur et, bien que les deux applications les plus courantes du Zero Trust existent dans les domaines réseau (Zero Trust Network Access) et données (Zero Trust Data Protection), ce modèle de sécurité s'étend à d'autres domaines, comme par exemple :

  • Les charges de travail Zero Trust
  • Les bases d'utilisateurs Zero Trust
  • L'automatisation Zero Trust
  • Les appareils Zero Trust

Le modèle Zero Trust est là pour durer, mais il a besoin d'une nouvelle approche cloud-first en matière de sécurité afin d'être mis en place. En raison de l'augmentation du nombre de travailleurs distants et de l'adoption massive d'environnements cloud, les stratégies centrées sur le réseau ne sont tout simplement plus aussi efficaces qu'avant lorsqu'il s'agit de réduire les menaces de cybersécurité. Le caractère dynamique et les nouvelles exigences de ces travailleurs à distance et de ces environnements cloud ébranlent les architectures de sécurité traditionnelles, à tous les niveaux.

Compte tenu de l'explosion du nombre de travailleurs distants qui accèdent aux ressources et aux données de l'entreprise, et compte tenu de l'augmentation d'applications privées hébergées dans des clouds publics, les entreprises se trouvent dans l'obligation d'étendre leur périmètre de sécurité bien au-delà des murs de leur entreprise. En d'autres termes, les approches traditionnelles de contrôle d'accès s'avèrent inadéquates : elles ne sont pas en mesure de protéger les données face à des utilisations non autorisées ou face à des menaces de plus en plus complexes et ciblées.

Par chance, les technologies Zero Trust se sont perfectionnées et peuvent désormais répondre à ces nouvelles exigences. En matière de sécurité, le Zero Trust adopte essentiellement une approche de « refus par défaut », c'est-à-dire que tous les utilisateurs et périphériques qui tentent d'accéder au réseau doivent d'abord être vérifiés. Les nouvelles solutions d'accès réseau Zero Trust basées sur le cloud sont hautement évolutives et offrent aux utilisateurs un accès sécurisé aux applications, et non au réseau. Résultat : les applications et les données privées sont efficacement protégées de toute utilisation malveillante ou de tout piratage informatique.

 

Quels sont les principes du Zero Trust ?

Voici les trois principes fondamentaux qui régissent le modèle Zero Trust :

 

1. Grant the Least Amount of Privileges

Le principe de base du Zero Trust s'articule autour de l'idée d'accorder le moins de privilèges et d'accès possible sans affecter la capacité d'une personne à accomplir ses tâches. Vous n'accordez l'accès, au cas par cas, qu'à ce qui est nécessaire et rien d'autre.

 

2. N'ayez jamais confiance, vérifiez toujours

Aucune action ou aucun utilisateur n'est intrinsèquement fiable dans un modèle de sécurité Zero Trust. Chaque nouvelle entrée dans un système ou demande d'accès à de nouvelles données doit s'accompagner d'une forme d'authentification pour vérifier l'identité de l'utilisateur.

 

3. Always Monitor

Enfin, le modèle Zero Trust exige une surveillance et une évaluation constantes du comportement des utilisateurs, des mouvements de données, des modifications du réseau et des altérations des données. Si l'authentification et les restrictions de privilèges sont au cœur d'une structure Zero Trust, il est toujours préférable de vérifier les actions effectuées au sein de l'infrastructure de votre entreprise.

 

Quels sont les types de Zero Trust ?

La mise en place d'un modèle Zero Trust permet de protéger les applications privées, les données sensibles et les ressources du réseau, tout en réduisant considérablement les risques de comportements internes malveillants et de comptes compromis.

Aujourd'hui, il existe deux applications du modèle Zero Trust :

  • Accès réseau Zero Trust (ZNTA)
  • Protection des données Zero Trust (ZTDP)

 

Qu'est-ce que l'accès réseau Zero Trust ?

Pour désigner une stratégie Zero Trust permettant d'accéder à distance à un environnement, on parle souvent d'accès réseau Zero Trust (ou ZTNA), mais ce concept est également appelé périmètre défini par logiciel ou SDP (pour Software-Defined Perimeter). Un ZTNA ou un SDP est un outil innovant permettant de sécuriser l'accès au réseau, au moyen d'une approche logicielle cloud-first, visant à remplacer le matériel des anciens VPN. Le SDP crée un réseau superposé (overlay) qui connecte, en toute sécurité et via Internet, les utilisateurs et les périphériques aux serveurs et applications dont ils ont besoin dans un datacenter ou un cloud public.

A ZTNA solution offers the following benefits:

  • Sécurisation efficace des accès des utilisateurs à distance
  • Garantie d'une authentification robuste
  • Mise en place d'une gouvernance efficace de l'accès aux ressources
  • Réduction du potentiel de vulnérabilité et des dommages
  • Prise en charge d'initiatives d'audit de conformité
  • Accélération de la transition vers le cloud
  • Transformation de la sécurité – remplacements de VPN et adoption de solutions définies par logiciel

La plupart des entreprises adoptent un modèle Zero Trust pour bénéficier d'une visibilité totale et d'un contrôle complet sur les utilisateurs et les périphériques, lesquels accèdent à toujours plus d'applications cloud et de services de données. Il peut s'agir d'applications managées au sein de l'écosystème de l'entreprise, mais également d'applications non managées, utilisées par certains secteurs et individus de l'entreprise.

 

Qu'est-ce que la protection des données Zero Trust ?

D'autre part, vous avez la protection des données Zero Trust (ZTDP), un nouveau framework de sécurité créé par Netskope qui applique les principes fondamentaux du Zero Trust pour protéger vos données contre tout affichage, déplacement, altération et exfiltration non autorisés.

ZTDP benefits include:

  • Continuous risk assessment
  • Data context and sensitivity awareness, for better policy enforcement
  • Enables safe access-from-anywhere
  • Ensures data is protected everywhere
  • Adherence to current compliance standards

L'ajout d'autres outils tels que les plateformes d'analyse et la visibilité intégrée de l'utilisation du cloud, du Web et du réseau permet à ces administrateurs d'adapter leurs règles Zero Trust et d'empêcher tout mouvement latéral non autorisé vers d'autres ensembles de données. En somme, la protection des données Zero Trust constitue une première ligne de défense contre l'accès non autorisé et l'exfiltration des données.


Report: Cybersecurity Insiders – Rapport sur le Zero Trust 2020
Report: Guide du marché 2020 de Gartner pour l'accès réseau Zero Trust


Bien que ces deux concepts utilisent le modèle Zero Trust, le ZTNA a pour objectif d'appliquer le modèle Zero Trust strictement dans le but de protéger l'accès au réseau, tandis que la ZTDP l'applique pour protéger l'accès aux données. Dans un monde parfait, les entreprises utilisent ces deux concepts pour se prémunir contre les intrusions dans les réseaux et les exfiltrations/altérations de données.

 

Gartner : prédictions et insights du modèle Zero Trust

 

80% of new digital business applications will be accessed through ZTNA
des nouvelles applications numériques des entreprises seront accessibles via ZTNA
60% of enterprises will phase out most of their remote access VPNs in favor of ZTNA
of enterprises will phase out most of their remote access VPNs in favor of ZTNA
 

SOURCE : RAPPORT GARTNER « THE FUTURE OF NETWORK SECURITY IS IN THE CLOUD » (L'AVENIR DE LA SÉCURITÉ DES RÉSEAUX RÉSIDE DANS LE CLOUD)

 

Comment le Zero Trust s'intègre-t-il dans l'infrastructure de sécurité Netskope ?

Pour être pleinement efficaces dans les environnements cloud-first d'aujourd'hui, qui sont de plus en plus distribués et mobiles, les solutions Zero Trust doivent combiner un large éventail de capacités et de technologies : authentification à plusieurs facteurs (MFA), gestion des identités et des accès (IAM), chiffrement, scoring, autorisations des systèmes de fichiers, etc.

In terms of Netskope, our Private Access solution is specifically designed to support diverse environments as a cloud-native ZTNA platform. It combines comprehensive access policy management, compliance assessment, integration with existing IAM and security information and event management (SIEM) solutions; and it supports any application, and any protocol – to simplify network and security operations.

The solution also provides extended protection through integration with the Netskope Next Generation Secure Web Gateway (NG SWG), which comprises several integrated cloud-native technologies, including an inline CASB, data loss prevention (DLP), SWG, and advanced threat protection (ATP). This allows the offering to be uniquely capable of providing unified visibility and protection of hybrid-cloud environments and enhancing latency-sensitive security functions such as DLP and ATP.

Autrement dit, Netskope Private Access offre une approche innovante à l'accessibilité Zero Trust, pour n'importe quelle application, dans n'importe quel environnement.


Data Sheet: Netskope Private Access


 

Ressources

Guide du marché 2020 de Gartner pour l'accès réseau Zero Trust

Guide du marché 2020 de Gartner pour l'accès réseau Zero Trust

Cybersecurity Insiders - 2020 Zero Trust Report

Cybersecurity Insiders - 2020 Zero Trust Report

Sécuriser les télétravailleurs avec Netskope

Sécuriser les télétravailleurs avec Netskope

Une approche en six étapes pour mettre en place le Zero Trust dans le monde sans limitation d'aujourd'hui

Une approche en six étapes pour mettre en place le Zero Trust dans le monde sans limitation d'aujourd'hui

Achieving true Zero Trust model compliance in todays cloudy world

Achieving true Zero Trust model compliance in today’s “cloudy” world

Premiers pas avec le Zero Trust

Premiers pas avec le Zero Trust

Netskope Introduces Zero-Trust Secure Access to Private Enterprise Applications

Netskope Introduces Zero-Trust Secure Access to Private Enterprise Applications

Subscribe for the latest cloud security insights

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.