La cybersécurité et le Zero Trust
Dans beaucoup d’organisation aujourd’hui, le modèle du Zero Trust est beaucoup plus utilisé.
Il se présente de nos jours comme un idéal en ce sens que la cybersécurité commence à avoir une importance non négligeable dans le développement des organisations. Et de manière conventionnelle, les professionnels sont d’accord pour harmoniser leur aspect et leur vision de la cybersécurité. Cela a donné naissance notamment à la politique de la confiance au zéro.
Cet article va aussi vous intéresser : 3 choses que vous croyez vrais sur le Zero Trust… à tort
« Les entreprises qui adoptent le Zero Trust sont moins susceptibles de subir des attaques externes et des menaces internes. Il est donc conseillé aux entreprises d’élaborer un plan d’action pour appliquer le Zero Trust à leurs futurs investissements. Ce plan servira à définir les mesures nécessaires pour une mise en œuvre efficace et réussie du modèle Zero Trust. », souligne Jaap Meijer, responsable de la cybersécurité et de la confidentialité chez Huawei Technologies Hollande. « De plus en plus d’entreprises choisissent d’utiliser les principes du Zero Trust pour sécuriser leur infrastructure informatique. Elles cherchent un modèle de sécurité pouvant s’adapter efficacement aux environnements contemporains complexes. Dans cet environnement, les appareils et les données doivent être protégés quelle que soit leur localisation et quel que soit le type d’appareil utilisé au sein des entreprises concernées. », ajoute le spécialiste.
En somme, les avantages de la politique du Zero Trust est d’une manière ou d’une autre suffisamment concret pour ne pas la négliger.
« Le Zero Trust leur offre l’opportunité de réduire les risques engendrés par cette nouvelle situation. En utilisant les méthodes du Zero Trust, vous pouvez combler les lacunes des modèles de sécurité usuels. Par exemple, les mouvements latéraux, soit les mouvements involontaires entre les systèmes qui ouvrent l’accès aux données critiques, adviennent plus difficilement au sein du réseau. », souligne l’expert.
« Le Zero Trust est un modèle de sécurité doté d’un ensemble de principes aidant à prévenir les attaques et la violation de données. Il repose sur le constat que les modèles de sécurité conventionnels reposent sur une hypothèse dépassée, à savoir que tout ce qui se trouve à l’intérieur du réseau d’une entreprise peut être considéré comme fiable. », renchérit Jaap Meijer.
À titre de rappel, la politique du Zero Trust puise sa source dans le fait de ne pas avoir confiance en ses outils informatiques d’où le nom de cette pratique de sécurité. Disons en sommes que tout tourne autour de l’expression : « Ne faites jamais confiance, vérifiez toujours ».
« Le modèle s’appuie sur une segmentation très fine du réseau et il fournit une protection individuelle contre les menaces pour chacun de ces segments. En outre, le Zero Trust simplifie le système complexe de contrôle d’accès des utilisateurs. Une architecture Zero Trust n’est envisageable que si les principes suivants sont respectés :
Identification de l’infrastructure informatique et sécurisation des accès.
L’accès aux informations n’est accordé que par des connexions sécurisées, quelle que soit la localisation. Accès sur la base du « besoin de savoir ».
Définition des droits d’accès basée sur une relation de confiance qui découle des différentes propriétés de la demande d’accès : compte, appareil, adresse IP et localisation.
Surveillance, automatisation et journalisation complètes des événements. », explique Jaap Meijer.
Par ailleurs, il existe une discussion autour de la manière de pouvoir étendre le concept même de la politique de la confiance à zéro. En effet, ce concept ne peut pas se limiter seulement à l’organisation qu’il est censé l’appliquer. Il peut être étendue d’une certaine manière aux partenaires et à toutes sortes d’infrastructures qui pourrait graviter autour de ses activités.
« Aujourd’hui, dans le secteur, les discussions quant à la confiance envers tel ou tel fournisseur suspecté d’avoir des liens étroits avec un État, une organisation ou une personne ou d’être sous son influence. Pour faire taire ces doutes, des contrôles supplémentaires sont nécessaires afin d’atténuer ces risques. En conséquence, le principe du Zero Trust devrait être appliqué à la chaîne d’approvisionnement, notamment grâce à des garanties de fiabilité de la part des fournisseurs, de vérifications et de certifications de produits auxquelles tous les fournisseurs d’éléments ou de services pour l’infrastructure critique devraient se conformer. ». Précise l’expert. « Ces garanties de fiabilité pourraient notamment comprendre des engagements de non-ingérence de la part de tiers, la conservation des données dans le pays ou dans l’UE, la transparence de la chaîne d’approvisionnement, l’absence d’engagements clandestins, une divulgation responsable de la vulnérabilité, des sanctions en cas de manquement, etc. De telles déclarations pourraient nous permettre de développer des règles équitables pour tous les fournisseurs. », conclut-il.
Accédez maintenant à un nombre illimité de mot de passe :