Pourquoi la cybersécurité Zero Trust est-elle à ce point essentielle de nos jours ?

Inventé en 2010 par Forrester Research, le terme « Zero Trust » a longtemps été détourné par les fournisseurs de sécurité désireux de profiter de l’engouement suscité par le concept. Ce terme est désormais tellement galvaudé que beaucoup le considèrent comme un mot à la mode dénué de sens, mais c’est loin d’être le cas. En réalité, son détournement généralisé démontre la puissance de la cybersécurité Zero Trust. Sinon, pourquoi d’innombrables fournisseurs essaieraient-ils d’en tirer profit ? Comme le dit le proverbe : l’imitation est la forme la plus sincère de flatterie.

Zero Trust n’est pas une simple étiquette. Il s’agit plutôt d’une architecture (même si vous entendrez également parler d’une méthodologie, d’un cadre, d’un paradigme et d’une infrastructure Zero Trust) qui repose sur l’absence de confiance implicite, ce qui signifie que personne ne devrait être digne de confiance par défaut. Le principe clé du Zero Trust, à savoir l’accès sur la base du moindre privilège, stipule qu’un utilisateur ne doit avoir accès qu’à une ressource informatique spécifique à laquelle il est autorisé à accéder, au moment où il en a besoin, et rien de plus. D’où la maxime Zero Trust : « Ne jamais faire confiance, toujours vérifier ».

En tant que stratégie de mise en réseau et de sécurité, l’architecture Zero Trust contraste fortement avec les architectures traditionnelles centrées sur le réseau et basées sur le périmètre, construites avec des pare-feu et des VPN, qui impliquent des autorisations excessives et augmentent les cyber-risques. Pour en savoir plus sur leurs faiblesses, nous vous invitons à lire cet e-book.

Pour les besoins de ce blog, le point principal est le suivant : vous ne pouvez pas déployer le Zero Trust avec des architectures centrées sur le pare-feu et le VPN. Ces approches n’ont pas été conçues pour le monde actuel ni pour ses cybermenaces sophistiquées, et c’est pourquoi le Zero Trust est désormais essentiel pour la cybersécurité.

Alors, qu’est-ce qui distingue le Zero Trust et en fait une solution adaptée aux entreprises modernes ?

Principaux aspects du Zero Trust

Toutes les segmentations ne sont pas égales

Le déplacement latéral est une étape de la chaîne d’attaque qui intervient lorsqu’une menace parvient à franchir les défenses d’une entreprise et accéder au réseau, où elle se déplace parmi les applications connectées et élargit la portée de la violation. Il s’agit d’une faiblesse inhérente aux architectures basées sur le périmètre, qui connectent les utilisateurs au réseau dans son ensemble, leur donnant ainsi un large accès aux ressources qu’il contient.

La segmentation et la microsegmentation du réseau sont souvent considérées comme des solutions à ce problème, le réseau et son contenu étant divisés en segments plus petits séparés par des pare-feu. Mais le déploiement et la maintenance de cette stratégie sont complexes et coûteux, et elle consiste à atténuer un symptôme des architectures d’hier sans résoudre les problèmes sous-jacents, à savoir les architectures elles-mêmes.

La véritable solution est la segmentation Zero Trust. L’architecture Zero Trust connecte les utilisateurs directement aux applications autorisées de manière individuelle, personne ne bénéficiant d’un accès au réseau dans son ensemble. Par conséquent, le potentiel de déplacement latéral des menaces est éliminé, de même que la complexité et les coûts.

Sécuriser toute entité accédant à toute ressource

Pour beaucoup de personnes, le terme « Zero Trust » et l’accès réseau Zero Trust (ZTNA) représentent le même concept. Cependant, ZTNA est une solution spécifique, pas une architecture. La fonction de ZTNA, en dépit de sa convention de dénomination inexacte, consiste à fournir aux utilisateurs un accès Zero Trust directement aux applications privées hébergées dans les data centers et les clouds privés. Cette solution ne donne pas accès au réseau.

ZTNA est certainement un élément clé de toute plateforme qui fournit une architecture Zero Trust, mais ce n’est pas tout. Les utilisateurs n’accèdent pas uniquement à des applications privées. Ils accèdent également au Web, aux applications SaaS et à d’autres ressources informatiques dans divers environnements.

En outre, les utilisateurs ne sont pas les seuls à devoir bénéficier d’un accès sécurisé. Il y a également les workloads, les dispositifs IoT/OT et les partenaires B2B qui se connectent régulièrement aux ressources informatiques. À ce titre, disposer d’une architecture Zero Trust complète signifie sécuriser n’importe laquelle de ces entités lorsqu’elles accèdent à n’importe quelle ressource informatique. C’est la raison pour laquelle on évoque souvent l’analogie d’un standard téléphonique intelligent qui fournit une connectivité sécurisée de manière individuelle.
 

Contexte, contexte, contexte

Dès que nous recevons nos premiers appareils, nous sommes conditionnés à considérer l’authentification de l’identité comme la norme en matière de cybersécurité. Cela se reflète généralement dans les conversations sur la gestion des identités et des accès (IAM), où la vérification de l’identité de l’utilisateur est considérée comme le moyen idéal de déterminer si une personne peut se voir accorder l’accès à une ressource. Mais l’identité seule ne suffit pas, même si elle implique de prendre en compte le groupe d’utilisateurs.

Il existe deux raisons à cela. Premièrement, l’identité des utilisateurs peut être volée, comme le montrent d’innombrables violations qui impliquent le vol d’identifiants VPN. Deuxièmement, les utilisateurs qui sont bien ceux qu’ils prétendent être peuvent toujours adopter un comportement malveillant ou imprudent qui expose les entreprises à des cyberattaques et à la perte de données.

Au lieu de s’en tenir à ce statu quo risqué, le Zero Trust s’appuie sur le contexte pour évaluer les risques et régir l’accès. Cela inclut l’identité (qui est un élément essentiel de l’architecture Zero Trust), mais cela va bien au-delà pour prendre en compte d’autres variables telles que la posture de l’appareil, le risque de la destination et du contenu, le comportement de l’utilisateur, etc. Qui plus est, cette analyse contextuelle requiert généralement une forte dose d’IA/AA.
 

Cybermenace et protection des données

L’architecture Zero Trust neutralise les cyberattaques de quatre manières fondamentales (dont certaines ont déjà été mentionnées) :

1. Le Zero Trust élimine les pare-feu, les VPN et leurs adresses IP publiques, qui sont des cibles de choix pour les cyberattaquants. Au lieu de cela, les applications sont cachées derrière un cloud Zero Trust, ce qui élimine la surface d’attaque. En d’autres termes, les connexions entrantes sont remplacées par des connexions sortantes.
    
2. Le Zero Trust empêche toute compromission grâce à des politiques qui tiennent compte du contexte et, contrairement au matériel et aux appliances virtuelles, à un cloud hautes performances disposant de l’évolutivité nécessaire pour inspecter le trafic chiffré (où se cachent la plupart des menaces (mais plus d’informations à ce sujet ci-dessous (ces parenthèses ne sont-elles pas amusantes ?))).
    
3. Le Zero Trust propose une connectivité directe à l’application plutôt qu’un accès au réseau, empêchant ainsi tout déplacement latéral entre les ressources. 
    
4. Le Zero Trust arrête la perte de données en inspectant, une fois de plus, le trafic chiffré (là où se produisent la plupart des pertes de données) et en protégeant toutes les voies de fuite de données modernes, notamment le partage d’applications SaaS, le stockage amovible sur les terminaux et bien plus encore.

Outre ce qui précède, une plateforme Zero Trust complète doit proposer des fonctionnalités de protection contre les cybermenaces telles que le sandboxing cloud, la sécurité DNS, l’isolation du navigateur, etc. De même, elle doit fournir des fonctionnalités de protection des données telles que le SSPM, le CASB hors bande, l’EDM, etc.
 

Livraison spéciale !

Pour approfondir un point auquel il a été fait allusion plus haut, le Zero Trust est une architecture cloud native. En d’autres termes, il ne peut être appliqué simplement en déployant une nouvelle appliance dans un data center ou dans un cloud privé. Il s’agit plutôt d’un service fourni par un cloud global et multi-entité qui a été construit dans le but de fournir une architecture Zero Trust à la périphérie, c’est-à-dire aussi près que possible des utilisateurs finaux.

Ce cloud omniprésent fournit une connectivité any-to-any sécurisée ainsi que toutes les fonctions de sécurité possibles. Il convient ainsi parfaitement aux entreprises modernes dont les ressources, les collaborateurs distants et les données sont largement distribués dans le cloud. Ces entreprises n’ont plus besoin d’acheminer le trafic vers leurs data centers ou de maintenir les mêmes piles complexes, entrantes et sortantes, d’appliances de sécurité et de mise en réseau (qu’elles soient matérielles ou virtuelles).

De plus, contrairement aux appliances, l’évolutivité du cloud signifie que le Zero Trust dispose des performances nécessaires pour inspecter le trafic chiffré. Alors que 95 % du trafic Web est désormais chiffré et que 86 % des cyberattaques se dissimulent dans le trafic chiffré, cette inspection est plus importante que jamais.

Avantages du Zero Trust

Réduction des risques

Le premier avantage, et le plus évident, d’une architecture Zero Trust est qu’elle réduit systématiquement le cyber-risque. La mise à disposition d’une segmentation Zero Trust à partir du cloud, la sécurisation de chaque étape de la chaîne d’attaque, la protection complète des données et contre les menaces, et l’application des politiques basées sur le contexte et le risque pour chaque entité accédant à n’importe quelle ressource permettent d’assurer une défense hermétique
 

Productivité optimale

Le Zero Trust vous permet de supprimer les VPN et de mettre fin au backhauling du trafic. Au lieu de cela, vous bénéficiez d’une connectivité directe aux applications par le biais d’un cloud mondial doté de l’évolutivité nécessaire pour gérer les pics de trafic que les appliances ne peuvent pas gérer. L’ajout d’une surveillance intégrée de l’expérience numérique (DEM) à l’équation améliore encore les avantages de l’expérience utilisateur. Il en résulte une augmentation de la productivité des utilisateurs et, avec moins de demandes d’assistance et de tracas de gestion pour les administrateurs. La productivité du service d’assistance et du réseau s’en trouve également améliorée.
 

Réduction des coûts et de la complexité

Le Zero Trust élimine six coûts importants des architectures basées sur le périmètre comme suit :

1. Il supprime le besoin d’acheter une myriade de produits de sécurité et de mise en réseau.
    
2. Il réduit la complexité opérationnelle et la charge administrative.
    
3. Il accélère l’intégration informatique durant les fusions et acquisitions.
    
4. Il minimise le risque et, par conséquent, le coût des violations de données.
    
5. Il améliore la productivité, comme mentionné plus haut.
    
6. Il réduit la consommation d’énergie et l’empreinte carbone.
    

Transformation numérique

En transformant la sécurité et la connectivité avec l’approche Zero Trust, les entreprises du monde entier peuvent adopter la transformation numérique de manière sûre et efficace. Plutôt que d’adapter de force une approche dépassée de la sécurité et de la mise en réseau à l’environnement de travail moderne, les entreprises peuvent s’appuyer sur une architecture Zero Trust et exploiter de manière homogène les applications cloud, le télétravail et tout ce que l’avenir numérique peut leur réserver.
 

Envie de commencer ?

Si vous souhaitez adopter une architecture Zero Trust complète qui coche toutes les cases et libère tous les avantages décrits dans ce blog, il n’y a qu’un seul choix : Zscaler, pionnier et innovateur constant du Zero Trust.

La plateforme Zscaler Zero Trust Exchange est le plus grand cloud de sécurité inline au monde. Elle comprend plus de 160 centres de données dans le monde, traite plus de 500 milliards de transactions par jour, sécurise plus de 40 % des sociétés du classement Fortune 500 et affiche un Net Promoter Score de plus de 70 (alors que la moyenne des SaaS est inférieure à 30). Zscaler possède l’envergure et l’expertise nécessaires pour aider toute entreprise à réussir son déploiement Zero Trust.

Si vous souhaitez entamer votre parcours Zero Trust mais ne savez pas par où commencer, inscrivez-vous à notre webinaire mensuel en direct, Zero Trust 101 : démarrez votre parcours ici. Nous y aborderons la question du Zero Trust du point de vue des débutants. Il s’agit du premier volet de notre série en trois parties, « Zero Trust, de la théorie à la pratique », que nous avons conçue pour guider les entreprises depuis la recherche initiale sur le Zero Trust jusqu’à son déploiement. Inscrivez-vous dès aujourd’hui pour commencer.