Architecture zéro confiance Ne jamais faire confiance Toujours vérifier

Architecture zéro confiance Ne jamais faire confiance Toujours vérifier

Qu’est-ce qu’une approche zéro confiance ? Une approche Zero Trust est un modèle de sécurité qui protège les réseaux contre les attaques en éliminant la confiance du système. Sans confiance, chaque utilisateur doit être vérifié pour toutes les ressources et données auxquelles il souhaite accéder.

Principes de confiance zéro

Les principes de confiance zéro sont un concept de sécurité qui met l’accent sur la nécessité de contrôles d’accès sécurisés et d’une surveillance par tous les utilisateurs, des employés aux fournisseurs et aux clients, quels que soient leur emplacement et leur réseau. La confiance zéro est basée sur le principe « ne jamais faire confiance, toujours vérifier. Cela oblige les organisations à vérifier l’identité de chaque utilisateur et à surveiller en permanence le comportement des utilisateurs pour détecter toute activité malveillante.

Les organisations qui ne connaissent pas les principes de confiance zéro risquent des répercussions financières, juridiques et de réputation. Les répercussions financières peuvent inclure des pertes monétaires dues à des violations de données, des amendes imposées par des organismes de réglementation et des coûts associés à la réparation des atteintes à la réputation et à la restauration de la confiance des clients. Les répercussions juridiques peuvent inclure des poursuites judiciaires de clients ou de fournisseurs et d’autres autorités, telles que des amendes GDPR ou des violations de la confidentialité des données. Enfin, les répercussions sur la réputation peuvent inclure des dommages à la marque de l’organisation, une baisse de la fidélité des clients et un manque de confiance des parties prenantes.

Comment fonctionne le Zero Trust?

La sécurité Zero Trust est une approche de la sécurité dans laquelle aucun appareil, utilisateur ou agent n’est implicitement autorisé à accéder aux ressources système. L’accès aux ressources système ne doit se faire que par authentification et autorisation à l’aide d’informations d’identification acceptables.

La confiance zéro se concentre sur la protection des données, actifs, applications et services critiques (DAAS) à l’aide de micro-périmètres et de passerelles de segmentation. Ces outils de sécurité placent les mesures de sécurité à proximité du DAAS, en concentrant autant que possible la surface de protection.

Une fois que vous avez déterminé la surface de protection potentielle, vous pouvez alors déterminer les flux de données à travers cette surface et derrière cette surface. Vous comprendrez mieux comment les données transitent par vos services de sécurité et au sein de votre propre infrastructure.

Le plus important est la mise en œuvre de la sécurité Zero Trust. Les entreprises peuvent consulter un important document de sécurité publié par le National Institute of Standards and Technology (NIST), NIST Special Publication 800-207: Zero Trust Architecture. Ce document décrit un cadre pour comprendre et mettre en œuvre les principes de confiance zéro.

Certains des principes de l’architecture Zero Trust décrits dans NIST SP 800-207 incluent les éléments suivants:

  • Considérez tous les services et toutes les sources de données comme des ressources: ne tenez jamais pour acquis un aspect de votre système et sa place dans l’écosystème de sécurité. Cela inclut les logiciels, les services cloud, les appareils mobiles, les postes de travail et les plates-formes de stockage de données.
  • Sécurisez toutes les communications quel que soit l’emplacement du réseau: ne considérez jamais un aspect de votre réseau interne comme étant sécurisé tel quel et mettez en place des protections à tout point où une ressource peut se connecter ou transmettre.
  • Limiter l’accès sur une base par session: pour forcer les utilisateurs et les appareils à démontrer leur fiabilité, vous devez éliminer l’accès multisession pour toutes les ressources à des fins d’authentification et d’autorisation.
  • Tirer parti des attributs de politique dynamique pour l’accès: le contrôle d’accès basé sur les rôles (RBAC) est un moyen populaire de déterminer qui peut accéder aux ressources. Les politiques de confiance zéro doivent également tirer parti des contrôles d’accès basés sur les attributs (ABAC) pour intégrer des limitations basées sur les caractéristiques de l’appareil, l’heure et la date, ou même des attributs comportementaux.
  • Surveiller en permanence tous les actifs: le NIST suggère que tout actif, qu’il s’agisse de données, de logiciels ou de matériel, doit être surveillé régulièrement pour éviter les cas où l’actif a été subverti sans le savoir.
  • Gestion stricte de l’accès à l’identité à tout moment: votre système doit appliquer des contrôles d’authentification et d’autorisation stricts avant qu’un accès ne soit accordé.
  • Évaluation et optimisation: la surveillance continue peut et doit contribuer à optimiser l’application des règles d’accès, la sécurité et la confidentialité du réseau.

Qu’est-ce qu’un réseau Zero Trust?

Un réseau Zero Trust (ZTN) est un modèle de sécurité avancé qui suppose que tous les utilisateurs, systèmes et réseaux d’une organisation sont potentiellement indignes de confiance. Il est basé sur le principe « ne jamais faire confiance, toujours vérifier », selon lequel chaque utilisateur et appareil se voit attribuer une identité et des informations d’identification uniques, et toutes les communications sont sécurisées par authentification.

Les entreprises bénéficient des réseaux zéro confiance en étant capables de détecter les menaces plus rapidement, réduisant ainsi la probabilité d’une attaque réussie. Comme il élimine le concept d’accès “de confiance”, il réduit la surface d’attaque et fournit une couche supplémentaire de protection de l’intérieur vers l’extérieur.

Un réseau Zero Trust est différent d’une architecture Zero Trust (ZTA) en ce sens que ZTN se concentre sur la sécurité des données et la communication sur le réseau. En revanche, ZTA se concentre davantage sur la gestion des identités et des accès. Alors que les deux modèles se concentrent sur la microsegmentation pour réduire la surface d’attaque, un réseau Zero Trust met l’accent sur la communication sécurisée entre les microsegments, tandis qu’une architecture Zero Trust met l’accent sur le contrôle d’accès.

Qu’est-ce qu’un modèle de sécurité Zero Trust?

Un modèle de sécurité Zero Trust est un modèle de sécurité qui n’assume la confiance d’aucun utilisateur, appareil ou application. Au lieu de cela, tout le trafic est traité comme non approuvé par défaut et n’est autorisé à accéder à un réseau que s’il peut prouver son identité et ses informations d’identification. Il s’agit d’une approche de la cybersécurité qui oblige les organisations à vérifier non seulement l’essence de leurs utilisateurs, mais également la posture de sécurité de leurs appareils et applications.

Les entreprises bénéficient de l’utilisation d’un modèle de sécurité Zero Trust car il fournit une couche de protection supplémentaire au réseau, exigeant que tout le trafic entrant soit vérifié avant d’être autorisé à y accéder. Ce modèle aide à dissuader les acteurs malveillants tout en réduisant le risque de violation de données et d’autres cyberattaques en validant l’identité de l’utilisateur et en autorisant l’accès aux seules entités de confiance. De plus, un modèle de sécurité Zero Trust permet de garantir la conformité aux réglementations sur la confidentialité des données telles que le RGPD et est plus rentable que les modèles de sécurité traditionnels basés sur le périmètre.

Cas d’utilisation zéro confiance

Il est essentiel dans le monde numérique d’aujourd’hui, car les acteurs malveillants sont de plus en plus sophistiqués.

Zero Trust a trois cas d’utilisation importants.

  1. Accès sécurisé au cloud: la confiance zéro peut être utilisée pour sécuriser l’accès aux applications et services cloud. En tirant parti des technologies de gestion des identités et des accès (IAM) et d’authentification multifacteur (MFA), les entreprises peuvent authentifier en toute sécurité les utilisateurs qui tentent d’accéder aux services et applications cloud, en s’assurant que seuls les utilisateurs autorisés y ont accès.
  2. Défense du réseau: la confiance zéro peut protéger les environnements réseau en garantissant que seuls les utilisateurs et appareils authentifiés et autorisés peuvent accéder au réseau et à ses services. Il offre également une meilleure visibilité sur tout le trafic entrant et sortant d’un réseau, permettant aux organisations de prendre des mesures rapides en cas de violation potentielle.
  3. Protection des données: la confiance zéro aide à protéger les données sensibles et confidentielles contre tout accès non autorisé. En tirant parti des technologies de chiffrement, les organisations peuvent sécuriser les données au repos et en transit, en s’assurant qu’elles ne sont accessibles qu’aux utilisateurs autorisés. Les entreprises peuvent appliquer cet accès sécurisé via des contrôles d’accès basés sur les rôles et des solutions de prévention des pertes de données.

Quelles sont les meilleures pratiques et les avantages de l’architecture Zero Trust?

Bien que vous puissiez avoir une compréhension de base des principes qui composent un modèle de confiance zéro, mettre en œuvre cette architecture est une autre chose. Vous devez tenir compte de la manière dont ces principes s’appliquent à vos systèmes informatiques spécifiques, au sein de votre infrastructure spécifique et concernant vos objectifs commerciaux.

Plusieurs étapes entrent dans la mise en œuvre d’une architecture Zero Trust :

  • Définissez des surfaces de protection proches du DAAS pour éviter de surcharger les ressources de sécurité. Il peut être déroutant de penser à ce que signifie « proche » dans ce contexte. Les contrôles d’accès et les mesures de sécurité ne doivent pas couvrir un large éventail inutile de technologies et de ressources. Au lieu de cela, vous devez mettre en place des surfaces de protection claires, limitées et ciblées là où cela est nécessaire. Cette approche vous permet de mieux contrôler le trafic et l’accès au système et d’ajuster la sécurité du périmètre si nécessaire.
  • Suivez les transactions et les flux de données , y compris tous les mouvements d’informations entre les différentes parties de votre infrastructure. Selon le NIST, vous ne devez jamais supposer que les informations sont sécurisées sur votre réseau. Votre architecture Zero Trust doit avoir des contrôles en place pour suivre la façon dont les données se déplacent sur vos réseaux, en particulier par rapport à votre surface de protection.
  • Développer des politiques de sécurité et de confiance zéro autour de la « méthode Kipling ». La méthode Kipling, souvent attribuée à un poème de Rudyard Kipling, définit un ensemble de questions universelles que vous pouvez poser sur votre infrastructure de sécurité: Qui ? Quoi? Quand? Où? Pourquoi? et comment? En utilisant cette approche, vous pouvez créer des politiques de confiance zéro autour d’une longue liste de rôles, d’attributs et d’autres contrôles granulaires.
  • Créez des plans de surveillance et de maintenance continue et mettez-les en œuvre. NIST SP 800-207 suggère que la surveillance et l’optimisation deviennent une partie de votre architecture Zero Trust. À l’aide d’outils de journalisation et de surveillance d’audit basés sur les données , vous pouvez mettre en œuvre des principes de confiance zéro même avec les ressources existantes. Ne présumez jamais qu’une ressource existante n’a pas été piratée ou compromise, et ne présumez jamais que vos ressources restent protégées contre l’évolution des menaces.

Pour comprendre une approche complète de la mise en œuvre de la confiance zéro, consultez le NIST SP 800-207, qui comprend des directives d’architecture de haut niveau conformes.

Bien sûr, l’architecture Zero Trust présente un certain nombre d’avantages, principalement en matière de sécurité et de conformité:

  1. Sécurité: les principes de confiance zéro comblent les lacunes en matière de sécurité, en particulier celles liées à l’autorisation et à l’authentification. Étant donné qu’aucun utilisateur, appareil ou ressource n’est implicitement approuvé, il y a moins de surfaces d’attaque à exploiter pour les pirates. Les vecteurs par lesquels les attaques telles que les menaces persistantes avancées (APT) peuvent se propager au sein d’un système sont également limités.
  2. Conformité: plusieurs normes de conformité fédérales et de défense recommandent ou exigent une architecture de confiance zéro. En outre, le décret exécutif sur la cybersécurité appelle toutes les agences fédérales et tous les sous-traitants à passer à la sécurité zéro confiance. Aller de l’avant en mettant en œuvre ces principes contribuera grandement à promouvoir votre posture de conformité.

Qu’est-ce que l’architecture de messagerie Zero Trust?

L’architecture de messagerie de confiance zéro (ZTEA) est un cadre de sécurité de messagerie qui applique les principes de confiance zéro à l’infrastructure du système de messagerie d’une organisation. Il est conçu pour protéger les utilisateurs, les actifs de l’entreprise et les données sensibles contre les acteurs malveillants et assurer une communication sécurisée entre l’organisation et ses partenaires externes. L’architecture Zero Trust, en revanche, est une stratégie de cybersécurité qui se concentre sur la prévention des accès non autorisés à partir de sources internes et externes.

L’architecture de messagerie Zero Trust va encore plus loin dans ce concept en ajoutant des couches de sécurité supplémentaires aux e-mails envoyés à l’extérieur de l’organisation. Cela inclut le chiffrement de tous les e-mails, le contrôle des personnes autorisées à envoyer et à recevoir des e-mails et l’application de l’authentification pour les comptes de messagerie internes et externes.

L’architecture de messagerie Zero Trust aide les organisations à protéger leurs informations sensibles telles que les PII, PHI et la propriété intellectuelle lorsqu’elles les partagent avec l’extérieur. En cryptant tous les e-mails, les organisations peuvent s’assurer que seul le destinataire prévu peut accéder aux informations sensibles. De plus, en contrôlant quels utilisateurs peuvent envoyer et recevoir des e-mails et en appliquant une authentification forte, les organisations peuvent empêcher les acteurs malveillants d’accéder au système de messagerie.

L’architecture de messagerie Zero Trust aide également les organisations à se conformer aux réglementations sur la confidentialité des données telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. Par exemple, le RGPD exige des organisations qu’elles veillent à ce que les données personnelles soient conservées en toute sécurité et accessibles uniquement au personnel autorisé. En mettant en œuvre une architecture de messagerie Zero Trust, les organisations peuvent répondre à cette exigence en contrôlant qui peut envoyer et recevoir des e-mails, en chiffrant tous les e-mails et en appliquant l’authentification.

Étapes pour mettre en œuvre la confiance zéro

La mise en œuvre d’une architecture Zero Trust est une entreprise de grande envergure. Avant de vous engager à construire une architecture Zero Trust et une philosophie Zero Trust plus large, voici quelques recommandations à prendre en compte:

  1. dentifiez les utilisateurs, les appareils et les terminaux et créez-en un inventaire;
  2. Établir des politiques et des procédures d’accès aux données et de contrôle des risques;
  3. Mettre en œuvre des techniques d’authentification et de cryptage;
  4. Segmenter le réseau en micro-périmètres et contrôler l’accès à chaque segment; et
  5. Surveillez le système en continu et détectez les menaces en temps réel.

Par exemple, une entreprise peut utiliser l’authentification multifacteur lors de la connexion à son réseau, de sorte que les utilisateurs doivent fournir un nom d’utilisateur, un mot de passe et éventuellement un code de vérification pour y accéder.

Comment les organisations mettent-elles en œuvre l’architecture Zero Trust?

En suivant les meilleures pratiques décrites ici et les directives du NIST SP 800-207, il est relativement simple de conceptualiser une implémentation de confiance zéro. Cependant, considérer la confiance zéro dans une perspective à l’échelle du système peut rendre la tâche plus ardue.

Une bonne façon de commencer à conceptualiser la confiance zéro dans l’action au sein de votre système est de commencer avec un seul DAAS critique:

  • Identifiez un DAAS au sein de votre infrastructure qui devrait ou tombera en sécurité zéro confiance.
  • Déployez la méthode Kipling pour développer des politiques de confiance zéro:
    • Qui devrait accéder à cette ressource?
    • À quoi accèdent-ils (logiciels, données, etc.)?
    • y auraient-ils accès dans des circonstances normales et sécurisées?
    • Quand y accéderaient-ils (uniquement pendant les heures de travail, sous des plages horaires limitées, etc.)?
    • Pourquoi auraient-ils besoin d’y accéder pour une utilisation professionnelle légitime?
    • Comment doivent-ils y accéder (postes de travail locaux, appareils mobiles, etc.)?
  • Créez des politiques de confiance zéro à partir de ces questions et développez une configuration de sécurité et de gestion des identités et des accès (IAM) à partir de ces politiques. Cette configuration doit répondre à vos politiques de sécurité sans compromettre l’expérience utilisateur ou la convivialité du système.
  • Mettez en œuvre des politiques via des surfaces de protection limitées autour des actifs, en respectant les configurations de sécurité et IAM décidées.

Conclusion

L’architecture Zero Trust devient un pilier dans de nombreux cercles de sécurité, et cela ne fait que devenir plus courant. Avec l’ entrée en vigueur du décret exécutif sur les normes nationales de cybersécurité, l’utilisation des principes de confiance zéro requis ne fera que s’accentuer.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks