BROCHURE : CYBER SÉCURITÉ NXO
Découvrez les solutions cybersécurité NXO, leader français de l’intégration et de la gestion des flux digitaux des entreprises
Découvrir l’offreUne demande, besoin d’un conseil ?
0821 201 201 (0,18€ TTC/min)
Cet article est le premier d’une série de trois articles consacrés au zero trust.
Historiquement et pour beaucoup d’entreprises, encore aujourd’hui, les architectures de sécurité sont basées sur le principe consistant à établir un périmètre de sécurité autour du système d’information pour le protéger des menaces venant de l’extérieur. Cela reprend le concept du château fort qui est protégé par une ligne de pare-feux ou autres équipements défensifs isolant une infrastructure interne présumée sûre d’appareils et services publics potentiellement compromis.
Une fois la barrière de sécurité passée, le collaborateur pourra librement circuler à l’intérieur du système d’information de l’entreprise.
VPN, pare-feux et antivirus restent des composantes clés de toute politique de sécurité, mais ils sont maintenant insuffisants. Aujourd’hui les utilisateurs sont de plus en plus nomades et se connectent au réseau de l’entreprise hors de ce périmètre via leur téléphone portable, leur propre tablette (BYOD=Bring Your Own Device) avec notamment l’émergence du travail à domicile. De plus les données et applications de l’entreprise sont de plus en plus souvent hébergées hors des murs de l’entreprise sur le Cloud. Pour les entreprises dans ce contexte, la sécurité de type périmétrique est devenue obsolète.
Aujourd’hui, la sécurité de type périmétrique est devenue un obsolète.
Si vous êtes intéressés suivez ce lien
A l’origine, la protection contre les cyber menaces était principalement axée sur la sécurisation du périmètre. On misait alors sur les pare-feux, les VPN et les zones démilitarisées pour protéger les actifs sensibles de l’entreprise centralisés en 1 lieu physique contre des intrusions et attaques. Ce modèle repose sur le principe que la menace vient de l’extérieur tout en ignorant la sécurité au sein de l’entreprise.
En matière de cybersécurité, le principe de Zero Trust consiste à ne faire confiance à rien ni personne, y compris dans le périmètre sécurisé
À l’heure de la génération cloud, les données sont au cœur de l’architecture de sécurité. Nous ne pouvons plus nous appuyer sur le principe de la sécurité périmétrique car les données sensibles peuvent aussi bien transiter depuis et vers le cloud que se trouver à l’intérieur du périmètre de l’entreprise.
L’émergence d’un nouveau concept est alors apparue : l’approche « Zero Trust ». Cela part du principe qu’il n’existe plus de zone de confiance et qu’il faut vérifier les utilisateurs, valider les terminaux et se baser sur un principe de moindre privilège : limiter les accès et privilèges.
L’approche « Zero Trust » prône de n’accorder aucun droit d’accès à un utilisateur ou un dispositif tant que l’on n’a pas effectivement contrôlé et vérifié qu’il est bien ce qu’il prétend être au moment même où il a besoin des droits d’accès qu’il réclame.
Ainsi, un accès à une ressource, quelle qu’elle soit, ne peut être obtenu qu’après non seulement de multiples vérifications de l’authenticité de l’utilisateur ou du système qui le réclame mais également une bonne analyse et compréhension des contextes dans lesquels cet accès est réclamé.
L’approche « Zero Trust » pose des principes simples :
Avec l’émergence du cloud, du télétravail, l’utilisation de plus en plus courante de ses propres outils (BYOD), il est devenu d’autant plus complexe de sécuriser les accès. De plus le fait d’accorder une confiance (Trust) à un utilisateur qui a pu accéder au réseau affaiblit la sécurité d’une organisation pour plusieurs raisons:
Avec la multiplicité des appareils et notamment du BYOD, il n’est pas rare d’avoir des terminaux « jailbreakés » ou infectés par un malware. Les utilisateurs, bien que légitimes en utilisant ce type d’appareil peuvent exposer et compromettre des ressources sensibles de l’entreprise. En effet, les acteurs malveillants peuvent alors faire un déplacement transversal à travers le réseau de l’entreprise pour voler des données.
On le sait, dans le domaine de la cybersécurité, le 1er maillon faible est l’individu qui souvent par manque de formation et sensibilisation expose son entreprise à des failles. Que cela soit voulu avec des collaborateurs mal intentionnés, ayant quitté l’entreprise ou des personnes ayant été subi un vol de leur identifiant via du « phishing », la sécurité périmétrique ne permet pas de se couvrir contre ce type de vol. (Selon le rapport « Data breaches investigations 2019 » de Verizon, 29% des intrusions sont liées à l’utilisation d’identifiants volés.)
Avec la sécurité périmétrique, les utilisateurs sont identifiés via leurs adresses IP. Il s’agit d’une sécurité limitée car on ignore alors des risques basés sur le type d’utilisateur (service, ancienneté, privilège) mais aussi le contexte de la demande (géolocalisation, horaire) et le niveau de risque lié à la ressource demandée (ex : un accès à une application financière alors que la personne ne devrait pas y avoir accès).
Au final il faut donc revoir la façon de penser et de concevoir la sécurité. L’idée est surtout de protéger les données les plus critiques. Pour cela il faudra construire un périmètre autour de chacune de ses ressources en contrôlant les accès (« Qui ? », « où ? », « comment ? », etc).
Pour y arriver il faut, en amont, s’assurer que chaque dispositif connecté au système d’information est connu et sécurisé.
Il faut également s’assurer que tous les « devices » (PC, Smartphones, tablettes…) sont bien à jour. Il est également très important de prévoir une authentification forte afin d’éviter de potentiels vols de « Credentials ». En effet l’authentification uniquement par LOGIN/PASSWORD est très insuffisant.
Pour résumer, l’outil de gestion des identités est la 1ère brique essentielle pour mettre en œuvre cette méthode. Elle va permettre une identification des utilisateurs mais également celle des machines et d’identifier les applications voire les bases de données et autres systèmes de stockage.
« Zero Tust » est donc un concept qui implique un changement de paradigme sur la façon dont est pensée la sécurité. Ce qui est proposé dans ce modèle fait sens et améliore sans aucun doute possible le niveau de sécurité. Avec des consultants expérimentés en cybersécurité, NXO peut vous aider dans la mise en œuvre de ce modèle.
Nicolas Lacourte
Solution Manager Cybersécurité NXO