websights Zoom sur le modèle de sécurité "Zero Implicit Trust" (confiance implicite zéro)

Vous cherchez inwebo.com? Vous êtes au bon endroit ! Pour en savoir plus, lisez notre article de blog

Rejoignez-nous en personne lors des prochains salons et conférences de l'industrie.

Contenus

Introduction de la sécurité "Zero Implicit Trust" (confiance implicite zéro)

La mobilité et l'informatique dématérialisée ont rendu obsolète le modèle de sécurité "château et douves". Plutôt que de faire confiance à tout ce qui se passe à l'intérieur du périmètre, nous devrions maintenant adopter une politique de "ne jamais faire confiance, toujours vérifier". Et comme l'affirme l'auteur de cette longue lecture, Carlo Schupp, "Zero Implicit Trust" serait un meilleur nom. La mise en œuvre de Zero Trust n'est pas une promenade de santé et requiert un certain niveau de maturité numérique de la part d'une organisation. En fait, les différentes étapes du parcours zero trust peuvent être étroitement liées au modèle de maturité numérique développé par TrustBuilder.

Lisez la suite pour en savoir plus :

  • Comment le modèle du "château et des douves" doit être remplacé par le modèle du "château et des douves" ? Zero Trust
  • Pourquoi la confiance implicite zéro serait un meilleur nom pour la confiance implicite zéro ? Zero Trust
  • Comment l'évolution vers Zero Trust est liée à la maturité numérique d'une organisation

Zero Trust remplace le modèle "château et douves

Historiquement, les entreprises dépendaient d'un modèle de sécurité de type "château et douves", avec le réseau d'entreprise et le centre de données à l'intérieur, et des pare-feux protégeant le périmètre. Tout ce qui se trouvait à l'extérieur était considéré comme non fiable. Inversement, tout ce qui se trouvait à l'intérieur était considéré comme fiable. Cependant, la confiance basée sur l'emplacement du réseau s'effondre lorsque les utilisateurs sont mobiles, lorsqu'ils utilisent l'informatique en nuage et lorsque des partenaires externes exigent un accès. Cela crée une confiance implicite excessive. C'est de cette confiance implicite que les attaquants abusent : une fois le périmètre franchi, ils ont accès à tout ce qui se trouve sur l'intranet privilégié. Par exemple, si des VPN sont utilisés pour étendre le réseau de l'entreprise aux travailleurs à distance, un attaquant n'a qu'à voler les informations d'identification de l'utilisateur pour accéder au réseau de l'entreprise.

 

L'adoption du mobile et du cloud signifie que nous ne pouvons plus avoir une vision de la sécurité centrée sur le périmètre du réseau ; au lieu de cela, nous devons permettre un accès sécurisé aux différents utilisateurs (employés, partenaires, sous-traitants, etc.) indépendamment de leur emplacement, de leur appareil ou de leur réseau. Le modèle de sécurité "Zero Implicit Trust" répond à cette tendance et supprime la distinction entre un réseau interne "fiable" et un réseau externe "non fiable". La gestion des identités et des accès (IAM) est la technologie de base pour parvenir à une sécurité de confiance zéro.

L'expression "confiance implicite zéro" serait plus appropriée que "confiance implicite zéro". Zero Trust

Même si le terme Zero Trust est largement utilisé et abusé dans le marketing de la sécurité, il peut prêter à confusion : ce n'est pas la confiance qui est supprimée, c'est la "confiance implicite" dans toute l'infrastructure informatique dont on ne dépend plus. Un meilleur nom pour ce modèle serait "Zero Implicit Trust", ce qui signifie que les niveaux de confiance réels sont rendus explicites et sont continuellement adaptés pour permettre un accès juste à temps et juste assez aux ressources de l'entreprise. Le modèle original Zero Trust a été développé par Jon Kindervag, analyste chez Forrester Research, en 2009, qui a soutenu que nous devrions considérer que tout le trafic réseau n'est pas fiable. Depuis 2009, l'essor du cloud et du mobile a servi de catalyseur à Gartner pour reprendre le cadre Zero Trust de Kindervag dans son cadre " Continuous Adaptive Risk and Trust Assessment " (CARTA) de 2017. CARTA a mis l'accent non seulement sur l'authentification et l'autorisation d'accès à la porte d'entrée, mais aussi sur l'authentification continue tout au long de l'expérience de l'utilisateur par le biais d'une évaluation adaptative basée sur les risques afin d'identifier les menaces potentielles. Forrester a développé son modèle Zero Trust eXtended Ecosystem, dirigé par l'analyste Chase Cunningham, pour remplacer "Next Generation Firewalls" par "Next Generation Access". Ce modèle met l'accent sur l'aspect humain et fait de la maîtrise et du contrôle de l'accès au réseau et aux données un élément essentiel. En d'autres termes, le principe fondamental de la confiance implicite zéro est devenu "ne jamais se contenter de faire confiance, toujours vérifier d'abord". Cela permet de s'assurer que les bonnes personnes ont le bon niveau d'accès, aux bonnes ressources, dans le bon contexte, et que l'accès est évalué en permanence de manière transparente.

L'évolution vers Zero Trust est liée à la maturité numérique d'une organisation.

La mise en œuvre du modèle de sécurité "Zero Implicit Trust" n'est pas un exercice trivial. Au fur et à mesure que les clients mettaient en œuvre des architectures de confiance zéro implicite, nous avons vu émerger plusieurs stades de maturité, parallèlement à notre modèle de maturité numérique. Notre modèle de maturité classe les organisations dans les catégories suivantes : développeurs numériques, experts en expérience, entreprises connectées, extension de l'écosystème ou maîtres de la monétisation.

Identité fragmentée, typique du développeur numérique

De nombreuses organisations commencent leur parcours de confiance zéro implicite avec des annuaires sur site comme Active Directory et avec des applications en nuage qui ne sont pas intégrées aux applications sur site. En conséquence, le service informatique est contraint de gérer des identités disparates à travers un certain nombre de systèmes ainsi que les nombreuses applications et services utilisés en dehors du contrôle du service informatique. Pour l'utilisateur, cela signifie également de nombreux mots de passe et autres informations d'identification. Sans visibilité ni propriété sur ces identités fragmentées, les équipes informatiques et de sécurité se retrouvent avec des windows potentiellement vastes pour les attaquants afin d'exploiter l'accès aux systèmes individuels.

Identité unifiée, typique de l'expert en expérience

La première étape pour résoudre les failles de sécurité laissées par de nombreuses identités fragmentées est de consolider sous un seul système IAM, à la fois sur site et dans le nuage. Cette consolidation, via l'authentification unique (SSO), est essentielle à la gestion des accès et ne doit pas être limitée aux seuls employés. Elle doit également s'appliquer à tout utilisateur ayant besoin d'accéder à un service, y compris à l'ensemble de l'entreprise élargie des sous-traitants et des partenaires. L'ajout d'un deuxième facteur d'authentification à ce point d'accès centralisé à l'identité permet d'atténuer les attaques ciblant les informations d'identification. En outre, l'unification des identités sur les serveurs est essentielle pour regrouper les politiques d'accès en un seul endroit sécurisé et gérable pour les services informatiques. 

De nombreuses entreprises utilisent déjà TrustBuilder pour unifier les identités de leurs utilisateurs. TrustBuilder ID Hub et TrustBuilder.io peuvent servir de source unique de vérité pour les organisations informatiques. Ils servent également de point d'intégration à de multiples services d'annuaire. TrustBuilder.io simplifie la gestion et la sécurisation de l'entreprise étendue pour les services informatiques et élimine la prolifération des mots de passe qui affecte actuellement les utilisateurs.

Accès adaptatif pour l'entreprise connectée

Une fois que les services informatiques ont unifié l'IAM, l'étape suivante de la sécurité zéro confiance implicite est la mise en place de politiques d'accès basées sur le contexte. Il s'agit de recueillir des signaux riches sur le contexte de l'utilisateur (qui est-il ? fait-il partie d'un groupe d'utilisateurs à risque ?), le contexte de l'application (à quelle application l'utilisateur essaie-t-il d'accéder ?), le contexte de l'appareil, l'emplacement et le réseau, et d'appliquer des politiques d'accès basées sur ces informations.

Par exemple, une politique pourrait être définie pour permettre un accès transparent aux appareils gérés à partir du réseau de l'entreprise, mais un BYOD non géré se connectant à partir d'un nouvel emplacement serait invité à procéder à une authentification multifactorielle (MFA). Ou encore, l'accès privilégié aux systèmes critiques nécessiterait une authentification à l'aide de jetons et d'une poignée de main cryptographique. En outre, si les utilisateurs quittent ou changent de rôle au sein d'une organisation, le provisionnement automatisé peut garantir qu'ils n'ont accès qu'aux outils pour lesquels ils sont autorisés.

De nombreuses organisations utilisent déjà l'authentification adaptative de TrustBuilder. En traitant une variété d'informations contextuelles sur un utilisateur, un appareil, un emplacement, un réseau et l'application ou le navigateur à partir duquel une ressource est accessible, le moteur de politique de TrustBuilder fournit une réponse contextuelle. Cette réponse est basée sur la tolérance au risque d'une organisation, ce qui constitue la première ligne de défense pour assurer la sécurité d'une organisation.

L'entreprise connectée de l'étape 3 ouvre également ses applications aux clients et aux tiers par le biais d'API. TrustBuilder Adaptive Authentication permet un accès sécurisé aux API, l'identité de l'utilisateur pouvant provenir du système d'identité d'un partenaire ou d'une source publique.

Accès à l'écosystème pour l'extenseur d'écosystème

Cette étape fait référence au modèle d'écosystème étendu de Forrester ( Zero Trust ). Il permet à l'entreprise de se concentrer sur l'authentification et l'autorisation d'accès à son écosystème de partenaires et de plateformes tierces. Cela signifie que l'authentification et l'autorisation n'interviennent pas seulement à l'entrée de l'écosystème (la première partie du parcours), mais qu'elles sont permanentes tout au long du parcours de l'utilisateur au sein de l'écosystème.

Une partie de l'écosystème peut désormais définir sa tolérance au risque et permettre à l'évaluation du risque basée sur des signaux contextuels de déterminer le degré de risque d'une tentative d'accès particulière. La confiance n'est plus absolue : L'authentification adaptative et l'autorisation dynamique sont constamment réévaluées. Tout changement dans l'un des signaux de risque peut conduire à des décisions d'autorisation différentes et peut entraîner une nouvelle authentification de l'utilisateur final.

Inversement, lorsqu'un utilisateur possède un compte avec des assertions vérifiées, le niveau de risque est faible et il peut automatiquement se voir accorder l'accès aux API d'un partenaire de l'écosystème sans avoir à se réauthentifier ou à se réenregistrer.

TrustBuilder permet aux administrateurs d'utiliser des politiques pour transformer l'expérience d'authentification et pour supprimer complètement les mots de passe du flux d'authentification. Le remplacement des mots de passe par un autre paramètre en tant que facteur principal d'authentification améliore l'expérience de l'utilisateur. Ainsi, alors que la sécurité est renforcée par un contrôle d'accès intelligent et basé sur les risques, l'expérience de l'utilisateur final est en fin de compte simplifiée. L'expérience est sans friction et, dans les cas où le service informatique a établi une politique qui le permet, sans mot de passe.

Les étapes de la maturité de l'écosystème numérique en combinaison avec la mise en œuvre de la sécurité "Zero Implicit Trust" à l'aide de TrustBuilder peuvent être décrites comme suit :

Les étapes de l'écosystème numérique

Les organisations qui se lancent dans ce voyage Zero Trust auront tout intérêt à le faire étape par étape, tout en évaluant leur stratégie et les risques de sécurité qui y sont liés à chaque étape. Il ne s'agit pas d'un voyage que l'on doit nécessairement faire seul. Pourquoi ne pas profiter de l'expérience d'un guide de confiance ? Avant de vous lancer, nous vous recommandons également de faire le point sur votre situation, par exemple en procédant à une évaluation de la maturité.

Êtes-vous prêt à mettre en œuvre Zero Trust? Contactez-nous pour vous assurer de faire ce voyage en toute sécurité.

Télétravail sécurisé avec l'authentification forte TrustBuilder.

Contactez-nous pour une démonstration ou pour commencer votre essai gratuit.