Dans le paysage des cybermenaces en constante évolution, les entreprises d’aujourd’hui ont besoin de solutions de sécurité plus robustes et plus efficaces que jamais. Et comme le monde de l’informatique ne cesse d’évoluer, c’est la même chose pour la sécurité des infrastructures.
Par le passé, nous avions recourt à une méthode traditionnelle de conception de réseaux périmétriques. Le principe de cette façon de faire consistait à créer un réseau et une infrastructure informatique en mode « château fort ». C’est-à-dire que tout ce qui était à l’extérieur correspondant à un risque potentiel et à l’inverse tout ce qui était à l’intérieur avait notre confiance par défaut.
Ainsi, vos serveurs, vos utilisateurs, vos applications une fois déployé(e)s pouvaient interagir avec tout le reste de l’infrastructure pour peu que vous restiez au sein de cet espacé périmétrique sécurisé. Cet espace était ensuite protégé par de multiples firewalls et autres solutions de sécurité (un peu comme les remparts ou les gardes autour d’un chateau fort pour reprendre mon analogie précédente).
Et même pour les utilisateurs qui travaillent par exemple à distance ou qui se trouvaient en situation de mobilité (télétravail déplacement, etc.), la première étape consistait pour eux à démarrer la solution de VPN pour s’intégrer et se connecter au réseau de leur entreprise. Une fois cette connectivité en place alors on estimait l’utilisateur et son matériel comme étant de confiance et l’on pouvait accéder au reste de l’infrastructure.
Mais cette manière de procéder où l’on fait confiance aux utilisateurs et aux appareils se trouvant à l’intérieur du périmètre, montre ses limites face à des acteurs malveillants de plus en plus sophistiqués. Et c’est dans ce contexte que la norme Zero Trust s’impose comme une alternative prometteuse pour la protection des données et des systèmes informatiques.
Contrairement aux approches traditionnelles basées sur la création d’un périmètre de sécurité, le Zero Trust part du principe que aucune entité, qu’elle soit interne ou externe, ne doit se voir accorder automatiquement la confiance. Cette approche met en place un système de vérification et d’autorisation en continu pour chaque accès aux ressources du réseau, qu’il s’agisse d’utilisateurs, d’appareils ou d’applications.
L’objectif du Zero Trust va donc être de contrôler en permanence et vérifier la légitimité et la confiance que l’on peut accorder à un utilisateur mais également aux équipements qui accèdent à notre SI (serveur, poste de travail, smartphone, tablette, …).
Pour mettre en œuvre efficacement une stratégie Zero Trust, vous allez devoir vous appuyer sur plusieurs piliers fondamentaux en matière de sécurité.
C’est probablement l’un des blocs les plus importants, nous devons nous assurer de la légitimité des utilisateurs qui se connectent et accèdent à nos ressources. Et nous devons le garantir dans tous les cas de figure possibles : l’utilisateur se connecte depuis le siège social de l’entreprise, depuis chez lui en télétravail ou bien depuis une situation de mobilité dans un train par exemple.
Vous trouverez ci-dessous plusieurs éléments permettant de sécuriser les connections de vos utilisateurs :
Dans un précédent article, je vous avais déjà parlé de la méthode de sécurisation d’une infrastructure de type Tiering Model. Le Zero Trust ne vous dispense d’ailleurs pas de respecter cette démarche.
Mais que vous soyez une entreprise Cloud, On-Prem ou Hybride, vous devez également respecter le principe du moindre privilège. 🔒
Cela signifie que vos populations d’administrateurs et utilisateurs à privilèges ne doivent plus disposer d’un accès administrateur de type « permanent » mais celui-ci doit être ce que l’on appelle éligible. En effet, l’accès à privilèges doit être spécifique et dimensionné par rapport aux tâches que votre administrateur doit accomplir (Just Needed Access) et surtout cet accès doit être actif pour une durée limitée Just-In-Time (le temps nécessaire à réaliser les actions).
Il existe de nombreuses solutions qui permettent de mettre en place ce genre de comportements. Au sein de Microsoft 365 ou Azure, c’est PIM – Privileged Identity Management qui vous permet de respecter cette norme de sécurité. Mais il existe également des alternatives comme CyberArk. Et si vous cherchez la solution Microsoft on-prem, elle s’appelle MIM with PAM.
Peu importe la localisation de provenance géographie ou le périphérique de notre utilisateur, nous devons faire en sorte de contrôler comment accèdent les salariés à notre informatique. Pour cela, il nous faut donc définir :
D’un point de vue réseau, nous avons plein de manière de ségréger une infrastructure. Vous pouvez par exemple :
Evidemment, même lorsque vous êtes parvenus à mettre un outil ou avoir une démarche en face de chaque norme de sécurité (principe du moindre privilège, audit des postes de travail, stratégie de connexion pour les utilisateurs, …), vous devez renforcer vos moyens de détection afin d’être proactif concernant votre sécurité.
Alors oui, j’entends que l’on ne peut pas acheter toutes les solutions de sécurité du marché et que vous n’êtes peut-être pas une entreprise avec une équipe SOC dédiée de 10 personnes à temps plein. 🙂 – Mais il y a des entre-deux : cela consiste par exemple à se réserver du temps pour attester et vérifier vos logs clés et vos outils de sécurité chaque jour ou semaine – un temps qui serait dédié et non utilisé par d’autres tâches de Build ou de Run afin de conserver cette proactivité sur votre informatique.
Et pour les organisations qui le peuvent – bien évidemment, je vous encourage à investir dans des solutions de sécurité dédiées qui vont vous rendre plus rapides pour votre sécurité :
Tout comme le Tiering Model et nombre d’autres méthodes permettant de sécuriser une infrastructure, l’approche Zero Trust est davantage une manière de travailler et de créer une infrastructure qu’un ensemble d’outils à acquérir. En effet, ce n’est pas parce que vous allez acquérir un ou plusieurs outils que vous pourrez dire que vous respectez le principe du Zero Trust. De plus, – tout comme le Tiering Model – ces approches en matière de sécurisé sont onéreuses et doivent être adaptées en prenant en compte le fonctionnement interne de votre entreprise ainsi que le budget que vous souhaitez y consacrer.
Le marché regorge de solutions de sécurité pouvant contribuer à la mise en œuvre d’une stratégie Zero Trust. Parmi les exemples notables, on peut citer :
La liste ci-dessus est évidemment loin d’être exhaustive. Mais la plupart de ces solutions impliqueront un coût, il convient donc de tester ces solutions afin de trouver celle qui conviendra le mieux à votre organisation.
La sécurité Zero Trust représente une évolution majeure dans la lutte contre les cybermenaces. En adoptant une approche centrée sur la vérification constante et l’autorisation granulaire des accès, les entreprises peuvent renforcer leur posture de sécurité et protéger leurs données critiques.
J’ajouterai également qu’un autre aspect du Zero Trust que vous avez peut-être lu ou enendu c’est ce que l’on appelle : assume breach. Cela signifie que vous devez déployer et configurer votre infrastructure en prenant pour hypothèse que les autres couches sont compromises… Ou en tout cas on souhaite travailler de manière à ce que chaque coucher ou pilier puisse être compromise sans pour autant affecter l’ensemble de la chaîne de toute votre infrastructure. Certaines entreprises croient tellement en cette méthodologie qu’elles vont même jusqu’à simuler des incidents afin de préparer les équipes à réagir à toute éventualité – dans ce cas, on parle de chaos engineering.
Alors oui, la mise en œuvre d’une stratégie Zero Trust peut s’avérer complexe mais les avantages en termes de sécurité et de résilience face aux cyberattaques sont indéniables. Cette démarche est un processus continu qui nécessite un engagement à long terme. Les entreprises doivent adopter une approche proactive pour surveiller leur environnement, identifier les nouvelles menaces et adapter en conséquence leurs politiques de sécurité.
PS : Et si vous avez tout lu, n’hésitez pas à me partager votre ressenti dans les commentaires ! 🙂
La version finale de Windows Server 2025 est disponible Windows Server 2025 est désormais disponible…
Locaux Google France à Paris Introduction L'intelligence artificielle révolutionne tous les secteurs, et le développement…
Microsoft va renforcer la sécurité dans Entra ID en rendant le MFA obligatoire Renforcement de…
Teams fait peau neuve : conversations et équipes fusionnent pour une expérience simplifiée 31 octobre…
La synchronisation des Passkeys par Google, vers la fin des mots de passe ? Google…
cloud sovereignty Why Cloud Sovereignty is important? In today's increasingly digital world, cloud sovereignty has…