Confiance Zero (Zero Trust)

Fiabilité
Points-Clés

Zero Trust est une approche de sécurité qui remet en question la confiance par défaut envers les utilisateurs et les périphériques, exigeant une vérification continue de l'identité et des autorisations, même à l'intérieur du réseau.

Que signifie la Confiance Zero (Zero Trust) ?

Zero Trust (ZT) est une stratégie de cybersécurité centrée sur les données pour l’informatique en entreprise qui suppose qu’aucun utilisateur final, appareil informatique, service web ou connexion réseau ne peut être considéré comme digne de confiance, même lorsque la demande d’accès provient de l’intérieur du périmètre réseau de l’organisation.

Le modèle Zero Trust a évolué pour prendre en compte l’informatique distribuée et une surface d’attaque en constante expansion. Contrairement à une stratégie de connexion unique (SSO) qui permet aux utilisateurs de se connecter une fois et d’accéder à plusieurs services réseau sans réinsérer les facteurs d’authentification, Zero Trust exige que les facteurs d’authentification soient vérifiés – et re-vérifiés – à chaque demande de ressource réseau.

Étant donné que des acteurs malveillants non dignes de confiance existent à la fois à l’intérieur et à l’extérieur d’un réseau, Zero Trust prend en charge les principes suivants :

  • Confiance Zero
  • Toujours vérifier
  • Appliquer le Principe du Moindre Privilège

Un objectif important du modèle Zero Trust est d’empêcher les acteurs malveillants d’utiliser un compte compromis pour se déplacer latéralement à travers un réseau cible.

Techopedia explique le principe de confiance zero 

Dans le passé, les efforts de cybersécurité étaient axés sur la protection du périmètre réseau. Avec la croissance du cloud distribué et de l’informatique périphérique. Des éléments réseau qui n’étaient historiquement pas pris en compte dans les décisions de contrôle d’accès sont devenus essentiels, et ils doivent être protégés de la même manière que toute autre surface d’attaque

Comment fonctionne la confiance zero

La confiance zero protège les données et les ressources critiques à la fois à l’intérieur et à l’extérieur du périmètre réseau traditionnel en utilisant des informations collectées en temps réel à partir de plusieurs sources. Cela nécessite que les équipes DevOps et les ingénieurs en sécurité travaillent ensemble et conçoivent un ensemble intégré de processus de sécurité capables d’inspecter et de journaliser tous les types de trafic réseau.

Zero Trust Network Access (ZTNA) utilise le principe du moindre privilège (POLP) pour limiter l’accès aux ressources réseau. Les processus de gestion des identités et des accès (IAM) de Zero Trust s’appuient sur une combinaison de facteurs contextuels, tels que le nom d’utilisateur, le mot de passe, le type d’appareil, l’adresse IP et l’emplacement physique, pour décider si une demande d’accès doit être autorisée ou refusée.

La microsegmentation joue un rôle important dans le modèle Zero Trust car elle divise logiquement un grand réseau en segments plus petits et plus gérables. La division du réseau en microsegments permet aux ingénieurs en sécurité réseau de détecter et de contenir les intrusions de manière significativement plus rapide et plus efficace que ce qui est possible avec des architectures de cybersécurité traditionnelles et monolithiques conçues uniquement pour protéger le périmètre réseau.

Une architecture Zero Trust nécessite une infrastructure de cybersécurité robuste capable de prendre, journaliser et appliquer des décisions d’accès pour des capacités de cybersécurité disparates mais liées. Les ingénieurs réseau devront savoir comment utiliser le réseau défini par logiciel (SDN) et les algorithmes d’apprentissage automatique (ML) pour rechercher des motifs de données indiquant une activité malveillante en temps réel. Pour garantir que l’application du contrôle d’accès reste aussi granulaire que possible, les ingénieurs en sécurité devront également savoir travailler avec l’intelligence artificielle (IA) et la programmation de l’automatisation des processus robotiques (RPA) qui accorderont ou refuseront les autorisations d’accès.

À mesure que les équipes informatiques évoluent vers des mises en œuvre Zero Trust optimales, on observe une dépendance accrue à l’utilisation de processus et de systèmes automatisés pour appliquer les politiques de sécurité.

Défis et Avantages de la Confiance Zéro 

La mise en œuvre de la Confiance Zéro n’est pas facile. Passer à un modèle de sécurité Zero Trust nécessite que chacun au sein d’une organisation comprenne et adhère à la nécessité de vérifier et de re-vérifier les demandes d’accès.

Dans son meilleur état, une stratégie Zero Trust réussie contribuera à garantir que les dommages peuvent être rapidement contenus et remédiés lorsqu’une identification utilisateur particulière, un périphérique matériel ou un service réseau est compromis. Cependant, une mauvaise mise en œuvre à l’arrière peut entraîner une latence et une mauvaise expérience utilisateur (UX).

Confiance Zéro vs. Authentification Basée sur le Risque

Un schéma d’« authentification basée sur le risque » peut être utilisé pour compléter la Confiance Zéro et réduire la latence. L’authentification basée sur le risque permet aux ingénieurs en sécurité de classer les ressources qu’ils souhaitent protéger en fonction de critères tels que le niveau de risque associé à l’adresse IP d’un utilisateur spécifique.

Au lieu de ne JAMAIS faire confiance et TOUJOURS vérifier, une approche d’authentification basée sur le risque peut éliminer les contrôles d’accès pour les interactions présentant un faible risque, mais appliquer la Confiance Zéro pour les transactions présentant un niveau de risque plus élevé. Cette version hybride de la Confiance Zéro peut également être appelée « Authentification Adaptative ».

Modèle de Maturité de la confiance zero

Le “Zero Trust Maturity Model” fournit un cadre pour aider les entreprises à comprendre à quel point elles sont proches de la mise en œuvre complète et de l’optimisation d’une architecture Zero Trust. Un modèle de maturité est un type d’outil analytique qui offre un cadre pour évaluer dans quelle mesure une initiative commerciale se rapproche de la réalisation d’un ensemble désiré de principes et de normes fondamentaux.

Le “Zero Trust Maturity Model” peut être utilisé pour évaluer les progrès vers cinq critères appelés piliers :

Identité – Dans quelle mesure une mise en œuvre de la Confiance Zéro utilise-t-elle une combinaison de facteurs pour valider et vérifier en continu une identité tout au long de la durée des interactions de cette identité avec les services ou les données ?

Appareil – Quelle est l’efficacité d’une mise en œuvre de la Confiance Zéro lorsqu’il s’agit d’évaluer l’intégrité des dispositifs informatiques en réseau en fournissant des protections de sécurité et une visibilité sur ces dispositifs eux-mêmes ?

Réseau – Dans quelle mesure une mise en œuvre de la Confiance Zéro aligne-t-elle la segmentation et les protections réseau avec les besoins des flux de travail des applications ?

Charge de travail des applications – Dans quelle mesure une architecture de Confiance Zéro applique-t-elle efficacement les principes de confiance zéro au développement et au déploiement des applications logicielles en utilisant l’intégration continue et le déploiement continu pour intégrer les tests de sécurité et la vérification à chaque étape du processus de développement ?

Données – Dans quelle mesure la mise en œuvre de la Confiance Zéro utilise-t-elle une approche centrée sur les données en cybersécurité, qui demande au personnel informatique d’identifier, de catégoriser et d’inventorier les actifs de données afin de pouvoir donner la priorité à la protection des données les plus critiques ?

Histoire de la confiance zero 

Bien que le terme Confiance Zéro soit souvent attribué à John Kindervag, certains experts en sécurité créditent Stephen Paul Marsh pour avoir inventé le terme.

Un rapport publié par l’analyste de recherche de Forrester, le Dr Chase Cunningham, intitulé “The Zero Trust eXtended (ZTX) Ecosystem Report”, approfondit davantage et explique comment un cadre Zero Trust étendu peut soutenir les réseaux, les données, les charges de travail, les appareils et les personnes.

Margaret Rouse
Experte en technologie

Margaret Rouse est une écrivaine technique primée et enseignante reconnue pour sa capacité à expliquer des sujets techniques complexes à un public non technique et commercial. Au cours des vingt dernières années, ses explications ont été publiées sur les sites Web de TechTarget et elle a été citée comme une autorité dans des articles du New York Times, du Time Magazine, de USA Today, de ZDNet, de PC Magazine et de Discovery Magazine. L'idée que Margaret se fait d'une journée amusante est d'aider les professionnels de l'informatique et des affaires à apprendre à parler leurs langages hautement spécialisés respectifs. Si…