Cybersécurité : plus aucune porte d'entrée pour les cybercriminels grâce à Zero Trust
Le développement des bureaux à domicile et l’augmentation du nombre de cyberattaques génèrent une hausse de la demande de solutions de sécurité pérennes, capables d’empêcher les accès non autorisés, de sécuriser les réseaux complexes et de rendre l'administration du réseau plus transparente. Le concept « Zero Trust » garantit une approche de solution moderne et complète, qui répond à ces exigences sans que les coûts ne deviennent incontrôlables.
« Trust but verify », telle a été la devise de la sécurité informatique dans de nombreuses entreprises pendant des années. Mais le dogme de la confiance qui peut être assurée par le contrôle n'est plus valable dans l'environnement actuel de cybersécurité. Le mot d'ordre actuel en matière de sécurité informatique est « Zero Trust », c'est-à-dire zéro confiance. Il ne s'agit pas d'une technologie spécifique, mais plutôt d'un concept. Celui-ci stipule qu'aucune confiance n'est accordée aux utilisateurs, appareils ou applications - même s’ils sont connus. Forrester définit la confiance zéro comme suit : « Zero Trust est un modèle de sécurité de l'information qui refuse par défaut l'accès aux applications et aux données. La protection contre les menaces est obtenue en n'accordant l'accès aux réseaux et aux charges de travail que sur la base de directives fondées sur un examen continu, contextuel et basé sur les risques des utilisateurs et des appareils qui leur sont connectés ».
Zéro confiance pour créer de la confiance
Bien entendu, « Zero Trust » est souvent mal compris. Cela n'est pas surprenant, puisqu'il s'agit en fin de compte de vérifier et d'évaluer tous les participants et les risques dans le système informatique d'une entreprise - et ce non pas une seule fois, mais en continu. Cela signifie que vous ne considérez plus l'ensemble du réseau de votre entreprise comme une zone de confiance implicite, et qu'aucune ressource ni aucun terminal ne sont considérés comme dignes de confiance. Mais les collaborateurs, les partenaires et les clients que vous authentifiez sont protégés par Zero Trust au même titre que l'infrastructure informatique de l'entreprise. Dans la mesure où le monde numérique devient de plus en plus dangereux, les mesures Zero Trust inspirent confiance[i].
La philosophie Zero Trust est apparue pour la première fois il y a environ dix ans. La pandémie de coronavirus et la migration massive du lieu de travail vers les bureaux à domicile ont mis en lumière d'importantes failles de sécurité, surtout lorsque les environnements étaient décentralisés et utilisaient des terminaux combinés à la technologie cloud. Les infrastructures cloud hybrides entraînent la décentralisation des ressources informatiques ; la surveillance est donc souvent difficile. Conséquence : la sécurité périmétrique traditionnelle ne suffit plus et les modèles Zero Trust sont de plus en plus demandés. Cela se reflète dans les statistiques du marché. Le marché mondial de la sécurité Zero Trust était estimé à environ 20 milliards de dollars en 2020. Aujourd'hui, deux ans plus tard, il s'élève déjà à 27,4 milliards, et d'ici 2027, le marché devrait atteindre 60,7 milliards de dollars, avec un taux de croissance annuel de 17,3 %[ii].
Sécurité sans limite de réseau
Dans la philosophie « Zero Trust », il n'y a pas de périmètre de réseau. Les réseaux peuvent se trouver n'importe où, localement ou dans le cloud, ou aux deux endroits, tout comme les membres d'une équipe peuvent travailler avec leurs ressources en tout lieu. Mais selon IBM, plus de la moitié des entreprises ne sont toujours pas en mesure de sécuriser les données utilisées dans plusieurs environnements cloud et locaux, ce qui peut considérablement entraver la création de valeur. Une majorité serait en outre incapable d'activer en toute sécurité de nouvelles fonctions cloud-natives et de les étendre à leurs partenaires internes et externes. De l'autre côté, certaines entreprises ont une longueur d'avance sur leurs concurrents en matière de fonctions « Zero Trust ». Selon une étude menée par l'institut IBM de recherche en valeur commerciale en collaboration avec Oxford Economics, elles consacrent un pourcentage de budgets et de ressources informatiques à la cybersécurité similaire à leurs concurrents, mais en tirent plus d'avantages. En d'autres termes, ces entreprises ont réduit leurs dépenses d'investissement et de fonctionnement en matière de sécurité grâce à Zero Trust, tout en augmentant l'efficacité de leur cybersécurité.
De la philosophie à l'architecture en passant par les principes
Le concept Zero Trust fournit le cadre nécessaire à la sécurisation des infrastructures informatiques modernes. Il montre comment sécuriser les collaborateurs sur des sites distants et des environnements de cloud hybride et comment se protéger contre des menaces spécifiques. Il existe différentes définitions de Zero Trust (voir ci-dessus). L'Institut américain des standards et de la technologie (NIST, National Institute of Standards and Technology) fixe la norme comme suit : « Zero Trust est un ensemble de concepts et d'idées conçus pour réduire l’incertitude liée à l’application de décisions d’accès précises, par requête, dans les systèmes et services d'information. L'architecture Zero Trust (ZTA) est le plan de cybersécurité d'une entreprise qui utilise des concepts Zero Trust et comprend des relations entre les composants, une planification des flux de travail et des politiques d'accès ».
L'architecture Zero Trust découle donc de la philosophie Zero Trust. Les principes de Zero Trust sont ainsi suivis. Selon le NIST, ils sont les suivants[iii] :
- Toutes les sources de données et tous les services de calcul sont considérés comme des ressources.
- Toutes les communications sont sécurisées, indépendamment de l'emplacement du réseau.
- L'accès aux ressources individuelles de l'entreprise est accordé par session.
- L'accès aux ressources est déterminé par des politiques dynamiques - y compris l'état détectable de l'identité du client, de l'application ou du service et de l'actif demandant l'accès - et peut inclure d'autres attributs comportementaux et environnementaux.
- L'entreprise surveille et évalue l'intégrité et l'état de sécurité de tous ses actifs et des actifs associés.
- Toutes les authentifications et autorisations de ressources sont dynamiques et strictement appliquées avant que l'accès ne soit autorisé.
- L'entreprise collecte autant d'informations que possible sur l'état actuel de ses actifs, de son infrastructure réseau et de ses communications et les utilise pour améliorer sa situation en matière de sécurité.
Une infrastructure « Zero Trust » repose sur une technologie de pointe.
La mise en œuvre des principes susmentionnés fait notamment appel à des applications pour la protection des charges de travail cloud, à l'authentification multifacteur et à la sécurisation des terminaux. En outre, les données doivent être cryptées, les e-mails sécurisés et les appareils contrôlés avant d'être intégrés dans un réseau Zero Trust. Chez UMB, nous pouvons fournir à la fois la technologie et le savoir-faire nécessaires, et nous avons aussi les partenaires nécessaires. Par exemple IBM, où le Zero Trust est également un thème central[iv]. UMB est le premier et le plus grand partenaire IBM Platinum Business de Suisse. Chez UMB, nous mettons en œuvre le concept Zero Trust de manière globale, en nous basant sur différentes technologies et approches procédurales. Nous considérons la cybersécurité comme une discipline intégrale dans le paysage informatique et comprenons les défis d'un monde en rapide évolution. Chez UMB, la cybersécurité n'est pas considérée de manière isolée, mais comme faisant partie intégrante des concepts IT, Workplace et de numérisation. Authentification à deux facteurs, authentification multifactorielle, accès conditionnel et protection de l'identité : nous vous soutenons dans ces domaines de sécurité et bien d'autres encore. Nous assurons en outre une sécurité web de premier ordre grâce à une protection optimale des points de terminaison, ainsi que le stockage et le cryptage des données.
Vous voulez en savoir plus sur le concept Zero Trust ? Contactez-nous.
[i]La cybercriminalité en 2021