Le Zero Trust et les sauvegardes : pourquoi cela est une obligation
Avec l’évolution de la cyber malveillance et la multiplication des attaques informatiques le concept de la confiance zéro s’est répandu dans tous les services et toutes les organisations.
Pourtant, il ne suffit pas de dire qu’il faut tout vérifier. Il faut mettre en place un ensemble de pratiques proactives qui permettent de s’assurer que non seulement la sécurité est au fait, mais qu’en cas de vulnérabilité, on puisse rattraper l’erreur ou la faille.
Cet article va aussi vous intéresser : Pourquoi le Zero Trust est si important ?
Nous sommes dans un monde de plus en plus connecté. D’un côté, le télétravail qui est devenu un standard dans le domaine professionnel, de l’autre adoption massive du cloud par les entreprises qui tracent d’une nouvelle ère fortement ancrée dans le numérique.
« L’idée que des douves entourent les entreprises dans lesquelles les interactions à l’intérieur de leur château fort sont fiables et toutes les interactions extérieures ne le sont pas est dépassée. Il existe désormais une meilleure approche : le « Zero Trust« . C’est un antidote aux stratégies de sécurité obsolètes, car il exige des organisations qu’elles suppriment totalement la confiance de l’équation en limitant et contrôlant les accès. », explique Florian Malecki, Directeur Marketing Produit International chez Arcserve.
En parlant du Zero Trust, il faut signifier que c’est possiblement un concept qui impose une évaluation de sécurité à tous les niveaux, particulièrement au niveau de l’accès, de l’utilisation d’un logiciel, et du déploiement de nouvelles infrastructures informatiques. Au niveau des accès on y voit une imposition qui permet de limiter les accès au maximum et d’accorder les privilèges selon les degrés d’importance de la tâche à accomplir.
« Avec le Zero Trust seules les autorisations minimales sont accordées, juste au bon moment, pour accomplir une tâche précise. Ces autorisations sont ensuite révoquées immédiatement après l’achèvement de la tâche ou de la transaction. Une approche de sécurité de type « Zero Trust » authentifie et autorise chaque connexion, par exemple, lorsqu’un utilisateur se connecte à une application ou un logiciel à un ensemble de données via une interface de programmation d’applications (API). », souligne Florian Malecki.
Récemment, l’association qui regroupe les grandes entreprises et les administrations publiques françaises, le Cigref a voulu analyser l’état du Zero Trust. Dans un rapport publié à cet effet, il a été question de savoir comment l’implémenter de manière pertinente. Il a été retenu, que la meilleure manière de développer la confiance zéro de manière à répondre aux exigences de ce concept, c’est la transformation de la logique de réseau en une logique d’application dynamique. Ce qui certainement a favorisé une évolution en interne.
Commentant le rapport du Cigref, Florian Malecki déclare : « Le constat est le suivant : l’approche actuelle de la protection des systèmes et des informations ne procure pas suffisamment de sécurité. Les organisations doivent partir du principe que des acteurs malveillants s’introduiront inévitablement dans le système et qu’elles doivent tout faire pour minimiser leur surface d’attaque et protéger leurs données critiques en évitant qu’elles ne soient endommagées ou détruites. ». Il ajoute par ailleurs : « Dans le cadre de cette stratégie de « Zero Trust », les organisations doivent également faire preuve d’une vigilance accrue en ce qui concerne leurs stratégies de sauvegarde et de récupération des données. Le concept de vérification, d’authentification et d’enregistrement permanents de qui va où et fait quoi doit s’appliquer aux opérations régulières et à l’utilisation des applications. Il doit également s’appliquer aux processus de sauvegarde et de récupération des données. Par exemple, il est essentiel de savoir qui est à l’origine de la sauvegarde et où les données sont sauvegardées. ».
Accédez maintenant à un nombre illimité de mot de passe :