Bien que le concept de sécurité à confiance zéro ait été défini pour la première fois il y a plus de 10 ans, il est toujours entouré de confusion, les décideurs d’entreprise continuant à se demander ce qu’il représente, où l’acheter et comment le mettre en œuvre et le gérer.
La bonne nouvelle, cependant, est que de nombreuses organisations ont déjà mis en œuvre un ou plusieurs composants de la sécurité de confiance. confiance zéroSelon Steve Turner, analyste chez Forrester, ils sont peut-être plus avancés dans leur démarche de confiance zéro qu’ils ne le pensent.
Pourquoi la confiance zéro maintenant ?
L’ancien analyste de Forrester John Kindervag a inventé le terme théorique en 2010 avec le slogan “Never trust, always verify”. Pourtant, il a fallu attendre jusqu’à récemment pour que l’idée fasse son chemin.
“John était en avance sur son temps”, a déclaré M. Turner, ajoutant que, lorsque l’idée a été conçue, elle n’était pas facile à mettre en œuvre. À ses débuts, la sécurité centrée sur le réseau était encore la norme. La plupart des employés travaillaient dans des bureaux dont les réseaux étaient protégés par des outils traditionnels, tels que des pare-feu et des logiciels anti-malware.
Selon Doug Cahill, analyste chez Enterprise Strategy Group, une division de TechTarget, l’intérêt accru pour le déploiement de la confiance zéro peut être attribué à la prévalence croissante du cloud combinée à un plus grand nombre d’employés travaillant en déplacement à partir de multiples appareils.
Steve Turner
Partiellement motivé par la pandémiela prise de conscience par les entreprises de l’importance des employés à distance suscite également un intérêt accru pour la confiance zéro. Pour obtenir et retenir les meilleurs talents, de plus en plus d’entreprises permettent le travail à distance.
“Les gens veulent travailler comme ils l’entendent”, a déclaré M. Turner. “Les anciens modèles de sécurité ne correspondent pas à cela. Ils ne protègent pas et n’alignent pas avec les objectifs commerciaux de nombreuses organisations.”
La promesse de la confiance zéro de sécuriser un périmètre d’entreprise composé de cloud et de lieux de travail distants met en lumière le concept, mais la question vieille de dix ans demeure : Qu’est-ce que c’est exactement ?
Que signifie réellement la confiance zéro ?
La confiance zéro, c’est l’élimination de l’état d’esprit selon lequel “intérieur égale confiance”, explique Johna Till Johnson, PDG et fondateur de Nemertes Research. Les réseaux d’entreprise étaient traditionnellement configurés de manière à ce que, dès qu’une personne se trouvait à l’intérieur des murs du bureau, elle était digne de confiance. Le travail à distance et l’informatique dématérialisée ont éliminé ce principe.
Dans le cas de la confiance zéro, “ne jamais faire confiance” signifie ne pas laisser entrer les utilisateurs sans les authentifier et les autoriser. En adoptant une approche de refus par défaut, la confiance zéro n’accorde que l’accès une fois que la confiance est établie par des attributs tels que le nom d’utilisateur et le mot de passe, la localisation, le profil du dispositif et l’heure de la journée.
La nomenclature de la confiance zéro ajoute probablement à sa confusion, selon M. Cahill. “C’est un terme plutôt draconien. Si vous ne faites confiance à personne ou à quoi que ce soit, comment pouvons-nous faire notre travail ?” Le véritable piège de la confiance zéro est l’élément “toujours vérifier”. “Je vais vérifier que vous êtes digne de confiance, mais ensuite je vais continuer à supposer que vous êtes potentiellement malveillant”, a expliqué M. Cahill.
La confiance zéro consiste à protéger les données et à contrôler la façon dont les gens y accèdent, a déclaré M. Turner. “Il s’agit de vérifier à chaque étape la façon dont les gens accèdent aux données, que ce soit via une application ou un appareil.”
Comment faire de la confiance zéro ?
La confiance zéro est super-simplifiée à la base, dit Turner. Ajoutez une partie de segmentation et une partie de vérification et, voilà, la confiance zéro.
Mais c’est un peu plus complexe que cela, a-t-il expliqué. La confiance zéro a deux composantes principales : une composante identité et une composante réseau. La composante identité comprend la gestion de l’identité et de l’accès, ainsi que d’autres technologies d’identité, telles que l’authentification multifactorielle (MFA) et la gestion de l’identité. gouvernance d’identité. Le provisionnement est lié, par exemple, à l’utilisation de processus automatisés pour modifier les droits d’accès des employés lorsque leurs rôles changent au sein d’une organisation. Le composant réseau comprend la segmentation du réseau et microsegmentationqui permettent de restreindre l’accès en fonction des besoins des employés pour leurs rôles spécifiques.
Malgré cette explication simple, la confiance zéro a rencontré une certaine résistance car de nombreuses organisations pensent qu’elles doivent déchirer et remplacer leurs outils de sécurité par de nouveaux outils de confiance zéro.
De nombreuses entreprises pensaient qu’elles partaient de zéro, mais elles partaient en fait de 30%.
Steve TurnerAnalyste, Forrester
“Je veux mettre une ligne dans le sable. La confiance zéro n’est pas un produit. Ce n’est pas un fournisseur particulier. Ce n’est pas quelque chose que vous pouvez acheter”, a déclaré M. Turner. Il s’agit plutôt d’une stratégie à suivre.
Il est faux de croire que les entreprises doivent acheter toutes les nouvelles technologies pour parvenir à un état de confiance zéro, a ajouté M. Turner. Au contraire, elles peuvent utiliser une variété de technologies de différentes manières et peuvent avoir déjà déployé plusieurs d’entre elles.
“Il n’est pas nécessaire de déchirer et de remplacer pour y parvenir”, a déclaré M. Turner. “Une grande partie de l’écosystème des fournisseurs qui ont compris cela a construit un cadre d’intégration robuste au sein de leurs produits pour se brancher et jouer les uns avec les autres parce qu’ils savent que ce sera leur avantage concurrentiel.”
M. Turner ajoute qu’un grand nombre des outils que les entreprises ont déjà mis en place peuvent être utilisés pour commencer leur parcours vers la confiance zéro. Il s’agit notamment de l’AMF, de la gouvernance des identités, de la détection et de la réponse aux points de terminaison (EDR), l’orchestration, le cryptage et l’analyse.
Selon M. Turner, une grande partie de la confusion vient des fournisseurs, expliquant que de nombreux claquements de doigts de la confiance zéro sur leurs produits sans aucune explication sur la manière dont ils permettent la confiance zéro.
Mme Johnson de Nemertes a déclaré que la confusion des fournisseurs est exacerbée par le fait que la confiance zéro peut être atteinte de tant de façons différentes – il n’y a pas un seul chemin clair pour y parvenir. “De nombreuses combinaisons de produits permettent d’obtenir la confiance zéro”, dit-elle. “Il s’agit juste de savoir quelles combinaisons vous avez choisies et combien de temps elles fonctionnent”.
L’état actuel des voyages à confiance zéro.
La pandémie a involontairement favorisé l’adoption de la confiance zéro. Pendant les arrêts de production, de nombreuses entreprises ont été contraintes de travailler à distance. Les défaillances des VPN ont poussé de nombreuses organisations à adopter des périmètres définis par logiciel, des réseaux étendus définis par logiciel et des systèmes de gestion de la sécurité. Service d’accès sécurisé Edgece qui les a mis sur la voie de la confiance zéro sans que beaucoup le sachent.
Plusieurs clients ont demandé à M. Turner des conseils sur la façon de commencer la confiance zéro, et après avoir examiné les technologies qu’ils avaient en place, il a pu leur dire qu’ils avaient déjà commencé.
“De nombreuses entreprises pensaient qu’elles partaient de zéro, mais elles partaient en fait de 30%”, a déclaré Turner.
Il se souvient avoir parlé à un client qui était optimiste quant à la possibilité d’atteindre la confiance zéro. Après avoir posé des questions, M. Turner a découvert que l’entreprise avait déjà mis en œuvre l’AMF et déployé l’EDR, et qu’elle avait intégré son système d’identité à ses systèmes de sécurité.
“Vous venez de toucher deux principes de l’écosystème de confiance zéro”, a dit Turner au client. “On pouvait voir sa tête exploser”. La preuve était de montrer au client comment les technologies déjà en place correspondaient à la confiance zéro – et qu’il n’avait pas besoin d’acheter quelque chose de tout nouveau pour y parvenir.
Pourtant, ce n’est pas toujours le cas. Bien que l’intérêt soit là, la confiance zéro a un long chemin à parcourir avant de devenir un courant dominant.
“Sur 100 demandes différentes, je dirais que cinq à dix d’entre elles sont des organisations qui comprennent ce qu’elles font”, a déclaré M. Turner.
Une stratégie de confiance zéro correctement déployée couvre sept piliers distincts.
Pour aider les clients à comprendre la notion de confiance zéro, Forrester a défini sa stratégie de confiance zéro comme suit sept piliers: sécurité du personnel, sécurité des dispositifs, sécurité de la charge de travail, sécurité du réseau, sécurité des données, visibilité et analyse, et automatisation et orchestration. Le dernier pilier, selon M. Turner, ne peut absolument pas être ignoré, car il est essentiel pour connecter et bénéficier de tous les autres piliers et de leurs technologies associées.
Turner a noté que de nombreux échecs de la confiance zéro sont dus au fait que les entreprises se concentrent sur les technologies et non sur les changements commerciaux ou humains qui doivent être abordés pour que la confiance zéro soit un succès.
“Certaines entreprises essaient d’introduire la technologie comme la sécurité l’a toujours fait”, a-t-il déclaré. “Elles veulent juste cocher la case et dire, ‘Nous sommes maintenant de confiance zéro’. Mais ce n’est pas comme ça que la confiance zéro fonctionne.”
Sur une note prometteuse, Turner a déclaré que de nombreuses entreprises sont désireuses d’apprendre comment la confiance zéro peut les aider.
“Nous assistons à une explosion d’organisations qui comprennent enfin qu’elles doivent moderniser ce qu’elles ont fait”, a déclaré Turner. “Et la confiance zéro est l’avenue qu’elles peuvent emprunter pour y arriver”.
Steve Turner
