Le Zero Trust est un concept stratégique utilisé par les responsables de la sécurité pour garantir que leurs organisations restent totalement protégées lorsqu'elles s'adaptent aux nouveaux modes d'activité et aux conditions du marché.
Webinar Oracle Security Week
Temps de lecture : 6 mn
Le concept Zero Trust encourage les équipes de sécurité des entreprises à s'appuyer moins sur le modèle traditionnel de sécurité périmétrique, avec les piliers des célèbres pares-feux et autres connexions VPN, et plus sur les nouveaux processus et technologies de sécurité qui peuvent être appliqués directement aux actifs de l'entreprise, indépendamment de leur emplacement et de l'identité de la personne qui demande l'accès.
La description la plus concise des principes qui sous-tendent l'approche de la confiance zéro peut être la suivante :
Le modèle de confiance zéro est de plus en plus populaire car de plus en plus d'organisations sont impliquées dans des projets de conversion numérique qui sont largement incompatibles avec le modèle de sécurité périmétrique.
L'introduction du cloud, du télétravail, du BYOD et d'autres nouvelles tendances créent de plus en plus de scénarios dans lesquels le routage du trafic à travers un périmètre de sécurité du réseau (tel qu'un pare-feu ou une connexion VPN) suffit pour déterminer qu'une demande d'accès provient d'une adresse IP "sécurisée".
Ce processus, connu sous le nom de "reverse re-engineering", renforce le mythe selon lequel la sécurité du périmètre était efficace en toutes circonstances. Cependant, les innombrables façons dont les intrus ont infiltré les réseaux d'entreprises sont connues, ainsi que le mouvement des pares-feux à travers ces réseaux pour voler des données et déstabiliser les affaires.
La confiance aveugle dans un utilisateur qui a accédé d'une manière ou d'une autre à un réseau affaiblit la sécurité d'une organisation de quatre façons :
Elle ignore l'usurpation d'identité...
Le rapport de recherche de Verizon sur les atteintes à la sécurité des données de 2019 a révélé que 32 % des intrusions étaient le résultat d'attaques de phishing, tandis que 29 % étaient liées à l'utilisation de données volées. Des justificatifs d'identité valides sont souvent suffisants pour accéder au réseau de l'entreprise.
Elle ne tient pas compte des points d'extrémité compromis.
Le rapport 2019 de Symantec sur les menaces à la sécurité de l'Internet a constaté que "tous les 36 dispositifs utilisés par les organisations étaient classés comme à haut risque. Cela inclut les dispositifs qui ont été "enracinés" ou "piratés", ainsi que les dispositifs qui seraient presque certainement infectés par des logiciels malveillants. "Les utilisateurs légitimes sur les points d'extrémité compromis peuvent involontairement exposer des ressources vulnérables aux attaquants par leur propre accès au réseau de l'entreprise.
Elle ne tient pas compte du contexte de la demande d'accès.
Les adresses IP permettent de déterminer si l'utilisateur demande l'accès à un "réseau de confiance". Cependant, le fait de se fier uniquement à ces données conduit à une protection insuffisante des actifs, car les autres sources de risque sont ignorées, en fonction du type d'utilisateur (service, ancienneté, privilèges), du contexte de la demande (heure, terminal, géolocalisation), ainsi que du niveau de risque de l'actif demandé (demande financière contre calendrier des vacances).
Elle crée une fausse impression de sécurité
Le mythe de la sécurité derrière le pare-feu est dangereux. Sans tenir compte de l'hypothèse que le réseau a déjà été attaqué, les bonnes pratiques habituelles en matière de sécurité peuvent être ralenties ou ignorées parce que "personne de l'extérieur n'aura accès à cette ressource, et de toute façon, elle se trouve derrière le pare-feu".
En plus d'un niveau de protection des données beaucoup plus élevé, le remplacement du modèle de protection du périmètre par le modèle de confiance zéro offre de nombreux avantages commerciaux supplémentaires.
Tout d'abord, les entreprises sont libres d'utiliser toute la gamme des infrastructures, des applications et des capacités de mise en œuvre des données, sans avoir à "réacheminer" tout le trafic à travers le réseau interne et le pare-feu associé.
Deuxièmement, ils peuvent accroître leur agilité en s'appuyant sur des datacenters locaux, des clouds privés et publics et toute combinaison de trois, en fonction de ce qui fonctionne le mieux pour chaque catégorie de ressources plutôt que de ce qui fonctionne le mieux pour la sécurité. Ils peuvent également économiser de l'argent en optimisant les coûts d'hébergement et de gestion par catégorie de ressources, ainsi qu'en réduisant les frais de licence pour les connexions VPN et autres dispositifs de sécurité du périmètre.
Troisièmement, elles peuvent accroître la productivité des employés en adoptant un modèle Zero Trust qui prévoit un contrôle d'accès unique pour toutes les ressources, quels que soient le lieu et le terminal utilisés par le demandeur.
Enfin, des "micro-segments" peuvent être créés pour garantir que toutes les données hébergées dans ce segment sont conformes à des réglementations spécifiques.
Les inconvénients de l'approche de la sécurité du périmètre décrite ci-dessus disparaîtront rapidement avec l'introduction du modèle de confiance zéro. Les références et les points finaux compromis, ainsi que les changements de contexte, sont tous traités par les fonctions qui sous-tendent une politique de confiance zéro.
Et lorsque le sentiment de sécurité absolue derrière le pare-feu cesse d'exister, les responsables et les équipes de sécurité sont obligés d'évaluer régulièrement et avec soin le profil de sécurité et le risque de chaque source pour assurer une protection suffisante.
Le modèle de confiance zéro garantit que les bonnes questions sont posées en fonction du profil de risque de chaque utilisateur, de chaque terminal et de la source demandée :
Oracle Data Safe : Protéger vos bases de données Oracle
Observatoire de la Tech: Cybersécurité, où en sont les français ?
Adopter Oracle Cloud Infrastructure, conçu selon une architecture “security first”
Cloud de confiance : Sur quels critères objectifs se reposer ?