La modernisation de la sécurité est une priorité pour la plupart des entreprises, en particulier avec des environnements hybrides de plus en plus complexes et la nécessité de soutenir un personnel à distance. Dans le même temps, les budgets informatiques sont en baisse dans de nombreuses entreprises, et le coût de maintenance des infrastructures traditionnelles vieillissantes ne cesse d’augmenter.
Pour lutter contre l’augmentation des coûts, les organisations, y compris celles du secteur public, se tournent vers les services basés sur le cloud, dans le but de permettre un accès conditionnel basé sur la posture et le partage des menaces de type zero-day. Les grandes entreprises doivent simplifier l’environnement de sécurité grâce à une automatisation multi-plateforme qui permet un accès sécurisé aux applications et aux données.
Bien qu'il n'existe pas d'outil dédié pour fournir toutes ces capacités, un modèle ZTNA (Zero Trust Network Access) fournit des politiques omniprésentes basées sur l'identité — ce qui signifie que les utilisateurs auront la même expérience partout où ils se connectent. Cela assure la cohérence au sein des organisations, en donnant aux utilisateurs la possibilité d'accéder de manière transparente aux applications et aux données dans les environnements cloud et les data centers, tandis que les administrateurs informatiques équilibrent la sécurité et le contrôle.
Il existe six capacités fondamentales de Zero Trust que l’entreprise peut adopter pour moderniser ses environnements de sécurité :
1) Un accès direct et transparent aux applications externes et internes
Zero trust offre aux utilisateurs un accès direct aux applications et données externes (Internet et SaaS) et internes (data center, IaaS, PaaS), à distance et en toute sécurité. Plutôt que de procéder à un backhauling du trafic à travers des réseaux privés virtuels (VPN), le modèle Zero trust réduit le trafic et la latence, tout en améliorant au final l’expérience utilisateur. Alors que le télétravail est en plein essor, les utilisateurs doivent pouvoir se connecter aux données des data centers et du cloud depuis leur domicile.
2) Un accès en fonction du contexte
Les politiques d'accès doivent établir une corrélation entre l'utilisateur, l'appareil, l'application et les autres aspects de l'environnement. Alors que les organisations élaborent des politiques d'accès aux données et aux informations en fonction du contexte, elles devraient inclure dans la conversation les fournisseurs, les architectes, les utilisateurs, les équipes chargées de la protection de la vie privée et celles chargées de la conformité. Il est essentiel d'avoir une représentation de toutes les équipes impliquées pour former une relation de symbiose ainsi qu'une organisation unie.
Les utilisateurs devraient être autorisés à accéder uniquement aux ressources et aux applications nécessaires à leur fonctions. En adoptant un modèle de sécurité Zero Trust, seuls les utilisateurs authentifiés auront le droit d’accès aux applications qu’ils sont spécifiquement autorisés à utiliser. À mesure que croissent les surfaces d’attaques avec des environnements de plus en plus distribués, Zero Trust peut limiter davantage le trafic latéral sur le réseau, de manière à ce que les utilisateurs ne puissent pas atteindre les applications auxquelles ils n’ont pas le droit d’accès.
3) Un déploiement flexible pour tous les utilisateurs et sur tous les emplacements
Un service Zero trust basé sur le cloud peut offrir un environnement évolutif sans imposer un important fardeau à l'équipe informatique. Pour pouvoir déployer ces outils le plus rapidement possible, les organisations ont besoin d'exigences politiques différentes qui permettent une certaine malléabilité de déploiement. Il doit être transparent pour supporter une augmentation ou une réduction des capacités, sans exiger le déploiement de nouveau matériel sur site ou l'obtention des licences supplémentaires.
Le déploiement peut être simple — de nombreuses organisations possèdent déjà dans leur infrastructure des aspects de Zero trust, notamment la gestion des terminaux, les diagnostics et atténuation continus, la mise en réseau définie par logiciel, la micro-segmentation et la surveillance du cloud.
Pour commencer, les équipes devraient identifier leur point sensible le plus important et définir un cas d’utilisation Zero Trust qui aborde cette question. Ensuite, ils peuvent mettre en œuvre de multiples cas d’utilisation pour une solution qui couvre plusieurs scénarios et communautés d’utilisateurs.
4) Une expérience utilisateur transparente
Il est important de se concentrer sur l’expérience utilisateur et rendre le plus transparent possible la sécurité et l’accès, notamment lorsqu’il s’agit d’accéder aux applications essentielles de l’agence et aux principaux outils de collaboration. Les VPN traditionnels font un backhauling du trafic à travers la pile de sécurité, créant une mauvaise expérience utilisateur et une importante latence — en particulier avec l’augmentation du télétravail. Au contraire, les connexions Zero Trust offrent un accès direct et sécurisé aux applications, quel que soit l’emplacement.
5) Une visibilité et un dépannage complets qui permettent de résoudre rapidement les problèmes des utilisateurs
Zero Trust offre aux administrateurs informatiques une vue centralisée permettant de gérer, d’administrer et de consigner les utilisateurs en un seul endroit. Grâce à une visibilité et un contrôle complets de l’environnement distribué, les technologies Zero Trust améliorent la visibilité et le diagnostic des problèmes des administrateurs afin d’améliorer l’expérience utilisateur et de promouvoir l’efficacité au sein de l’agence.
6) Des outils de sécurité et de conformité pour atténuer les cybermenaces et protéger les applications et les données
En utilisant des outils de sécurité et de conformité basés sur le cloud dans le cadre d'un modèle de sécurité Zero trust, les organisations peuvent protéger les données et les applications sans avoir à passer par des mises à jour fréquentes. Cela peut libérer du temps pour que les équipes se concentrent sur les besoins fondamentaux et sur l'amélioration des politiques, plutôt que de colmater les brèches de sécurité.
À mesure que la technologie évolue, le cloud et la mobilité bousculent et accélèrent la transformation digitale. Le télétravail exige une approche moderne de la sécurité, et les modèles de security access service edge (SASE) fournis par le cloud font passer la sécurité des contrôles centrés sur le réseau à une sécurité centrée sur l’utilisateur et l’application, conçue pour prendre en charge des équipes fortement décentralisées, travaillant au-delà du périmètre traditionnel du réseau. Avec cette « nouvelle normalité », les services informatiques deviennent des facilitateurs de l’activité numérique en adoptant de nouveaux outils et technologies de sécurité dans le cloud pour répondre aux objectifs de l’entreprise et promouvoir la transformation digitale.
Stan Lowe est le directeur mondial de la sécurité informatique chez Zscaler
