Comment mettre en œuvre le Zero Trust : 5 étapes et check-list de déploiement
Qu’est-ce que la mise en œuvre du Zero Trust ?
Un modèle de sécurité Zero Trust peut aider les entreprises à renforcer la sécurité des données et des ressources informatiques tout en gagnant en visibilité dans leur écosystème. L’implémentation de la confiance zéro comporte généralement au moins cinq étapes, qui comprennent l’ajout de la microsegmentation au réseau, l’ajout d’une authentification multifacteur et la validation des appareils de point de terminaison.
Nous allons décrire ces étapes de mise en œuvre et fournir des recommandations pour choisir vos solutions technologiques de confiance zéro. Enfin, nous présenterons les défis que la plupart des organisations rencontrent lors de la mise en œuvre de la confiance zéro et comment les surmonter.
Cela fait partie de notre série d’articles sur le Zero Trust Network Access (ZTNA).
Mise en œuvre du Zero Trust en 5 étapes
Voici plusieurs principes et technologies qui peuvent vous aider à mettre en œuvre la confiance zéro dans votre entreprise :
1. Déployer le SASE
Le SASE (Secure Access Service Edge) permet d’unifier le SD-WAN et des solutions ponctuelles de réseau dans un service cloud natif centralisé. Vous pouvez déployer le SASE dans le cadre de votre stratégie de confiance zéro. Voici quelques aspects à prendre en compte lors de l’examen d’une solution SASE :
- Intégration : idéalement, la solution SASE que vous choisissez doit s’intégrer parfaitement à votre architecture réseau existante. Par exemple, les entreprises qui exploitent une infrastructure critique sur site devraient opter pour une solution SASE offrant des composants de confiance zéro qui peuvent se connecter en toute sécurité aux ressources cloud et à l’infrastructure traditionnelle.
- Fonctionnalités : votre solution SASE doit fournir des fonctionnalités qui vous permettent de bloquer les menaces potentielles et de limiter les dommages causés par une violation. Par exemple, la solution devrait vous permettre d’implémenter la microsegmentation, les correctifs, le sandboxing et d’utiliser la gestion des identités et des accès.
- Confinement : rien ne peut vraiment garantir qu’une violation ne se produira pas. Idéalement, votre solution SASE de prédilection devrait vous aider à vous assurer que toute menace qui a violé le réseau est contenue pour réduire son impact global.
Le SASE facilite considérablement la mise en œuvre des technologies ci-dessous, car il les regroupe toutes dans un seul service managé.
2. Utiliser la microsegmentation
La microsegmentation consiste à fractionner les périmètres de sécurité en zones plus petites. Elle permet de définir un accès séparé à certaines parties de votre réseau. Cette séparation vous permet d’autoriser l’accès à certains utilisateurs, applications ou services à certaines zones pertinentes tout en limitant l’accès à d’autres.
Contenu connexe : lisez notre guide sur le réseau de confiance zéro
3. Utiliser l’authentification multifacteur (MFA)
La MFA exige que les utilisateurs saisissent au moins deux facteurs d’authentification, dont :
- Un facteur de connaissance — une information que seul l’utilisateur doit connaître, comme un modèle, un mot de passe ou un code PIN.
- Un facteur de propriété – des informations ou des objets que l’utilisateur est le seul à posséder, tels qu’une carte à puce, un téléphone mobile ou une carte bancaire.
- Un facteur d’inhérence — ce facteur repose sur les caractéristiques biométriques d’un utilisateur, telles qu’un balayage de la rétine, un balayage du visage ou une empreinte digitale.
Le système n’effectue l’authentification que si tous les facteurs sont validés.
4. Mettre en œuvre le principe du moindre privilège (PoLP)
Le PoLP implique de limiter l’accès et les autorisations des utilisateurs au minimum leur permettant d’effectuer leur travail. Par exemple, vous pouvez accorder aux utilisateurs des autorisations minimum pour exécuter, lire ou écrire uniquement les ressources et les fichiers.
Vous pouvez également appliquer le principe du moindre privilège à la restriction des droits d’accès pour des ressources non humaines, telles que les systèmes, les applications, les appareils et les processus. Vous pouvez le faire en accordant à ces ressources uniquement les autorisations nécessaires pour effectuer les activités pour lesquelles elles sont autorisées.
5. Valider tous les points de terminaison
N’accordez pas de confiance aux appareils qui n’ont pas été vérifiés. La sécurité Zero Trust peut vous aider à valider vos points de terminaison et à étendre les contrôles centrés sur l’identité au niveau des points de terminaison. Il s’agit généralement de s’assurer que les appareils sont enregistrés avant d’accéder à vos ressources. L’enregistrement des appareils facilite leur identification et leur vérification. En mettant en œuvre la vérification des appareils, vous pouvez déterminer si le point de terminaison qui tente d’accéder à vos ressources répond à vos exigences en matière de sécurité.
Check-list du déploiement du Zero Trust
Voici plusieurs aspects à prendre en compte lors de la mise en œuvre d’une solution de confiance zéro :
Facilité de déploiement | Pouvez-vous mettre le système en service rapidement ?
Le fournisseur vous demande-t-il de modifier votre environnement pour l’aligner sur la solution ? Par exemple, devez-vous ouvrir des ports dans le pare-feu ? |
Prise en charge multicloud | La solution prend-elle en charge facilement et simplement l’intégration avec plusieurs fournisseurs de cloud public ?
La solution vous permet-elle de sécuriser efficacement vos charges de travail sur plusieurs clouds ? |
Évolutivité | L’architecture de confiance zéro est-elle évolutive ?
L’évolutivité offerte répond-elle aux exigences de vos charges de travail ? |
Sécurité | Quelles sont les mesures de sécurité appliquées par le fournisseur de la solution ?
La solution maintient-elle un cycle de sécurité rationalisé ? La solution déploie-t-elle un système de détection d’intrusion (IPS) et analyse-t-elle tout le trafic pour détecter des logiciels malveillants ? |
Visibilité | La solution permet-elle aux administrateurs de visualiser les demandes d’accès actuelles et historiques, depuis n’importe quel utilisateur vers n’importe quelle ressource, dans une interface centrale ?
Un accès facile aux données sur ce qui a été autorisé et ce qui a été bloqué est la clé de la surveillance et de l’audit de conformité. |
Service et assistance | Le fournisseur de la solution de confiance zéro peut-il aider à résoudre les problèmes ? |
Valeur | La solution offre-t-elle une valeur ajoutée ?
Comment et où la solution apporte-t-elle de la valeur, des fonctionnalités et des mesures de réduction des risques qui vont au-delà de la valeur de vos outils de sécurité existants ? |
Défis de la mise en œuvre du Zero Trust :
Quand vous mettrez en œuvre la confiance zéro dans votre organisation, vous devrez prendre en compte et surmonter les défis suivants.
Infrastructure complexe
Les entreprises modernes possèdent généralement une infrastructure composée de proxys, serveurs, applications métiers, bases de données et solutions SaaS (Software-as-a-Service). Certains composants d’infrastructure peuvent fonctionner sur site tandis que d’autres sont dans le cloud.
Il peut être difficile de sécuriser chaque segment du réseau tout en répondant aux exigences d’un environnement hybride, avec un mélange d’applications et de matériels hérités et nouveaux. Cet environnement complexe empêche les organisations de parvenir facilement à une mise en œuvre complète de la confiance zéro.
Opérationnaliser Zero Trust avec de multiples outils
Pour soutenir un modèle de confiance zéro, les organisations utilisent divers outils, notamment :
- Accès au réseau de confiance zéro (ZTNA) ou périmètre défini par logiciel (SDP)
- Solutions SASE (service d’accès distant sécurisé) ou VPN
- Outils de microsegmentation
- Authentification multifacteur (MFA)
- Solutions d’authentification unique (SSO)
- Solutions d’homologation des appareils
- Systèmes de prévention des intrusions (IPS)
Cependant, bon nombre de ces outils sont spécifiques aux systèmes d’exploitation, aux appareils et aux fournisseurs de cloud. De nombreuses organisations ne prennent pas en charge un ensemble homogène d’appareils. Elles exécutent certains services dans des centres de données sur site, d’autres dans un ou plusieurs clouds, ont des utilisateurs sous Windows, Mac et d’autres appareils connectés au réseau, et peuvent exécuter des serveurs sur plusieurs distributions Linux et plusieurs versions de Windows Server.
Il est difficile de s’assurer que les outils de confiance zéro fonctionnent uniformément dans tous les outils et environnements, en particulier au sein d’une grande entreprise.
Contenu connexe : lisez notre guide sur l’architecture de confiance zéro
Adaptation des mentalités
La création d’un modèle de confiance zéro dans une grande entreprise exige l’adhésion des parties prenantes pour assurer une formation, une planification et une mise en œuvre efficaces. Un projet de confiance zéro affecte presque tout le monde, de sorte que tous les dirigeants et managers doivent s’entendre sur l’approche. En général, les entreprises tardent à mettre en œuvre le changement. Les politiques relatives au milieu de travail peuvent à elles seules menacer l’efficacité du projet.
Coût et efforts
Les organisations doivent investir du temps, et des ressources humaines et financières pour mettre en œuvre la confiance zéro. Un modèle de confiance zéro nécessite de définir qui peut accéder à quelles zones de leur réseau et de créer une segmentation de réseau appropriée — une planification et une collaboration minutieuses sont requises pour cela.
Les organisations devront embaucher ou affecter du personnel pour mettre en œuvre la segmentation du réseau et la maintenir en permanence. Plus les systèmes de confiance zéro s’intégreront à l’environnement, et plus cela deviendra facile.