Au cours des dernières années, l’environnement dans lequel le Zero Trust est appliqué a considérablement changé. Les utilisateurs travaillent en dehors des périmètres de sécurité traditionnels, en utilisant des appareils et des réseaux que l’organisation ne contrôle pas. Le cloud et l’infrastructure accessible à distance permettent à chacun de travailler et de collaborer de n’importe où sur n’importe quel appareil, mais il est essentiel de s’assurer que l’accès est sécurisé et géré de manière centralisée.

Le Zero Trust comporte de nombreux éléments, notamment l’identité, le endpoint, les données et le risque. Plutôt qu’une solution ou une plate-forme toute faite, le Zero Trust représente un état d’esprit, une philosophie et, en fin de compte, une architecture de cybersécurité. Concentrons-nous sur ce qui compte le plus : les données sensibles. Ce qui s’est passé au cours des deux dernières années avec la transformation numérique, c’est que les utilisateurs, les applications et les données ont quitté le bâtiment et ne sont plus dans ce périmètre de sécurité traditionnel.

Plutôt que de simplement fournir un accès à distance via des VPN, il faut prendre les services que vous aviez dans ce périmètre et les mettre dans le cloud afin de pouvoir travailler dans ce nouvel environnement hybride où les apps sont dans le cloud ou accessibles par le cloud. C’est l’objectif des solutions Security Service Edge (SSE) qui fournissent des composants de sécurité basés sur le cloud, notamment Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG) et Firewall as a Service (FWaaS). Lorsque les utilisateurs étaient dans le bâtiment, Internet était filtré pour eux par leur entreprise afin de s’assurer qu’ils ne cliquaient pas sur des liens malveillants et n’effectuaient pas d’autres activités non sécurisées, donc une partie des solutions SSE déplacent ces services dans le cloud.

La plupart des entreprises ont désormais adopté des centaines d’applications SaaS, et chacune d’entre elles gère différemment les autorisations et le contrôle d’accès. Pour éviter que le service IT ne devienne un expert de chaque application SaaS, la gestion centralisée des politiques pour toutes les applications SaaS et en cloud via une solution CASB devrait également figurer en tête de liste pour la plupart des organisations. En centralisant les politiques d’accès aux données, les équipes informatiques peuvent minimiser la charge de travail, simplifier l’administration et éviter les erreurs de configuration susceptibles d’introduire des vulnérabilités. Enfin, entre de mauvaises mains, les VPN exposent de grandes parties de votre infrastructure à des attaques. Il s’agit en fait d’un passage à travers le pare-feu vers le cœur de l’infrastructure IT de toute organisation, ce qui est un cauchemar du point de vue de la sécurité. Une fois que quelqu’un se connecte via un VPN, il a généralement un accès illimité aux applications et aux données adjacentes, et c’est là que le mouvement latéral entre en jeu. Vous devez séparer votre infrastructure pour empêcher les mouvements latéraux. Les hackers utilisent le mouvement latéral pour rechercher des systèmes et des données qui peuvent être exploités pour extorquer leur cible. Le concept Zero Trust propose la microsegmentation pour résoudre ce problème, mais l’approche ZTNA est plus simple et plus moderne.

Le niveau de bruit autour de la confiance zéro peut être déroutant pour les organisations qui tentent de tracer la voie la plus sûre. Il est important de mettre en garde contre les affirmations trompeuses sur les soi-disant solutions Zero Trust. Il est plutôt recommandé d’évaluer votre situation actuelle et souhaitée par rapport à un modèle de sécurité Zero Trust établi, tel que celui rédigé par la Cybersecurity & Infrastructure Security Agency (CISA).

La mise en œuvre du Zero Trust est un parcours sans fin et la meilleure façon d’établir les bons éléments de technologie à adopter dans ce parcours est de se comparer à ces modèles de durabilité. Il n’y a pas de solution miracle, alors ne vous laissez pas tromper par les vendeurs qui vous disent qu’il y en a une parce que vous ne pourrez pas vous la procurer sur le marché. Vous devez rechercher des fournisseurs qui reconnaissent que l’intégration à votre infrastructure existante est la bonne approche.

Le modèle CISA aligne le modèle de sécurité Zero Trust sur cinq piliers :
• Identité
• Dispositif
• Réseau/environnement
• Charge de travail des applications
• Données

Selon la CISA, chaque pilier peut progresser à son propre rythme et peut être plus avancé que les autres, jusqu’à ce qu’une coordination entre les piliers soit nécessaire, permettant une évolution progressive vers le Zero Trust.

Il existe une infinité de façons d’appliquer le Zero Trust, il est donc important de commencer par un plan bien pensé. Les organisations devraient prioriser leurs efforts de mise en œuvre en fonction de leurs registres de risques. Le Zero Trust représente notre meilleure approche dans la lutte contre les cyberattaquants, mais elle ne doit pas être considérée comme une panacée. Il est pratiquement impossible de déployer des contrôles sur tout, il est donc essentiel d’évaluer les risques impliquant les données les plus sensibles de l’organisation et de commencer la mise en œuvre du Zero Trust à ce niveau.