Cybersécurité des PME : 7 étapes pour entreprendre une approche Zero Trust
octobre 2023 par JumpCloud
Ne jamais faire confiance, et tout vérifier ! C’est à partir de ce postulat qu’a été fondée l’approche "Zero Trust" (aucune confiance).
Ce modèle de cybersécurité implique la mise en place de contrôles conçus pour garantir que seuls des utilisateurs vérifiés peuvent accéder aux ressources de l’entreprise, et ce à partir d’appareils également approuvés.
Cette stratégie est de plus en plus adoptée pour répondre aux défis rencontrés par les petites et moyennes entreprises (PME) tels que le développement du travail hybride, l’utilisation du Bring Your Own Device et l’augmentation des cyberattaques.
Pour autant, adopter un nouveau paradigme peut sembler insurmontable, surtout lorsqu’une seule erreur peut entraîner un arrêt brutal de la productivité.
À l’occasion du mois de la cybersécurité, JumpCloud propose, sept conseils pour les PME qui souhaitent entreprendre une approche de sécurité Zero Trust.
1. Dresser son inventaire numérique
Lister ses actifs numériques : réseaux, données, appareils, flux de travail & identités. Pour apprendre où se situent les données sensibles, comment elles circulent dans l’organisation, les utilisateurs qui y accèdent et les appareils qu’ils utilisent pour y accéder, et tout cela afin de prioriser les points de protection.
2. Établir une gestion des identités et des accès, basée sur le principe du moindre privilège
Garantir que chaque collaborateur bénéficie d’un accès contrôlé aux ressources numériques dont il a besoin, tout en excluant celles dont il n’a pas besoin. Cette gestion est un des ajouts les plus importants, en particulier dans un environnement de travail de plus en plus hybride. Lorsqu’elle est correctement mise en œuvre, elle permet d’éviter que des ressources sensibles ne tombent entre de mauvaises mains. Comme par exemple, des collaborateurs administratifs, sous contrat, qui pourraient avoir accès aux données financières de l’entreprise.
3. Adopter l’authentification multifactorielle
L’authentification multi-facteurs (MFA) est un élément essentiel de la gestion des identités et des accès. Cette solution de sécurité nécessite des facteurs de vérification supplémentaires au-delà d’un nom d’utilisateur et d’un mot de passe de base et contraint les utilisateurs à fournir plusieurs méthodes de vérification avant d’accéder à une ressource. Selon Google, ce procédé peut stopper toutes les attaques automatisées, 96 % des attaques de phishing en masse et 75 % des attaques ciblées.
4. Renforcer les informations d’identification
Des mots de passe trop simples, utilisés de manière systématique et changés à intervalles trop rares, peuvent être une aubaine pour les individus malveillants. Il est donc impératif de s’assurer que ses collaborateurs fassent usage de mots de passe forts, plus difficiles à décrypter et plus il est efficace pour prévenir les violations.
5. Mettre en place une gestion des appareils mobiles
L’ensemble des outils formant la gestion des appareils mobiles (ou Mobile Device Management, MDM) permet d’intégrer les employés et de configurer les appareils en toute sécurité. Il renforce la cybersécurité en n’autorisant que des accès conditionnels et en protégeant les appareils perdus ou volés.
6. Réduire sa surface d’attaque
Cette surface désigne la zone de votre système orientée vers l’extérieur, comme les sites web de l’entreprise, les portails des employés, les certificats de sécurité expirés et les informations d’identification des employés volées… Plus la surface d’attaque est petite, plus il est facile de la protéger.
7. Prioriser l’installation des correctifs de sécurité
Les administrateurs informatiques surveillent en permanence les appareils, les applications et les systèmes afin d’identifier et de corriger les failles de sécurité. C’est pourquoi la gestion des correctifs fait partie intégrante du modèle Zero Trust.
Au terme de ces étapes, il est important de rappeler que Rome ne s’est pas faite en un jour, au même titre que le modèle Zero Trust. Il n’est pas un simple interrupteur que l’on peut activer. Au contraire, il s’agit d’une combinaison de meilleures pratiques, fonctionnant ensemble pour renforcer la sécurité du réseau, et dont la mise en œuvre complète peut prendre des années. À titre d’exemple, Google a mis environ six ans pour passer de son modèle de VPN et d’accès privilégié au réseau à son propre réseau Zero Trust.