Imaginez que vous dirigez une entreprise qui propose une excellente politique de travail flexible, signifiant qu'un jour donné, votre équipe peut se connecter depuis n'importe quel endroit. Par ailleurs, chaque collaborateur possède plusieurs appareils et utilise des connexions WiFi offrant des niveaux variables de connectivité et de sécurité Internet, sur lesquels vous ne disposez que d'un contrôle limité. À cela s'ajoutent les équipements, les logiciels et tout ce qui gravite autour. En outre, ces membres de l'équipe et ces appareils peuvent être la cible de cyberattaques plus ou moins importantes et complexes. Que pouvez-vous faire pour vous assurer que vos équipes et votre entreprise sont efficacement protégées contre les cyber-vulnérabilités potentielles ?
En réalité, les entreprises de toute taille doivent désormais renforcer et adopter de nouvelles mesures de sécurité afin de protéger leurs systèmes et leur infrastructure, compte tenu des récentes tendances en matière de transformation numérique et de télétravail, ainsi que des avancées technologiques continues.
Malheureusement, certaines manquent de prévoyance et de conseils pour adopter efficacement des mesures de sécurité solides, ce qui les rend vulnérables. C'est très simple : quels que soient la taille ou le type d'entreprise, en l'absence d'une approche de protection solide et résiliente du réseau, telle que la sécurité Zero Trust, la compromission des systèmes n'est qu'une question de temps.
L'abandon du travail sur site au profit du travail hybride a entraîné une importante dissémination des données et des ressources qui, à son tour, a généré des complexités pour les entreprises désireuses d'établir une connectivité instantanée et sécurisée. Le contrôle a été retiré aux services informatiques des entreprises : les collaborateurs utilisent désormais différents réseaux et appareils, rendant les entreprises vulnérables aux menaces pour la cybersécurité. La réduction des dispositifs de protection conventionnelle des infrastructures sur site et l'avènement du travail à domicile ont créé des vulnérabilités qui compromettent la sécurité des réseaux d'entreprise.
La sécurité Zero Trust est un modèle de cybersécurité qui restreint fortement l'accès aux contrôles en ne faisant confiance à aucun utilisateur, qu'il soit connecté à distance ou présent à l'intérieur du réseau. Cette approche permet de vérifier individuellement toutes les requêtes adressées à toutes les ressources. Avec les autres formes traditionnelles de sécurité des réseaux, si une menace parvient à franchir les défenses et à pénétrer les systèmes d'une organisation, elle a toute latitude pour se déplacer à sa convenance.
Lors de l'application d'un cadre de sécurité Zero Trust, aucun utilisateur n'est automatiquement considéré comme digne de confiance, en raison du postulat selon lequel des menaces peuvent être présentes à l'intérieur et à l'extérieur du réseau. Cette approche consiste à vérifier régulièrement l'identité de l'utilisateur, ses privilèges, ainsi que l'identité et le niveau de sécurité de l'appareil. Les ouvertures de session et les connexions sont continuellement interrompues, assurant ainsi que les utilisateurs et les appareils se réauthentifient régulièrement.
Par ailleurs, les entreprises qui adoptent un cadre de sécurité Zero Trust peuvent assurer une surveillance et une validation continues, afin de contrôler et de limiter l'accès au réseau. À cette fin, elles mettent en œuvre les principes fondamentaux de la sécurité Zero Trust, à savoir la limitation des privilèges d'accès, la microsegmentation et l'authentification multifactorielle (MFA).
Le personnel souhaite bénéficier d'une expérience utilisateur simple et rapide, que ce soit lors de la connexion, lors du partage de fichiers ou lors de la configuration de ses appareils, le premier jour. Des mesures de sécurité obsolètes et inefficaces ne font que le ralentir dans son travail, quel que soit son rôle. C'est une chose dont personne ne veut.
La principale raison pour laquelle nous utilisons la sécurité Zero Trust est la capacité de fournir une sécurité à tous les utilisateurs, sur tous les sites et sur tous les appareils. La sécurité Zero Trust amoindrit considérablement le temps consacré aux tâches de sécurité manuelles, réduit la surface d'attaque et, en fin de compte, améliore la productivité des équipes en leur redonnant le temps qu'elles auraient autrement consacré à des mesures de sécurité obsolètes.
Nous observons, en conséquence, une évolution en profondeur des protocoles de sécurité : l'environnement du « château entouré de douves » n'existe plus, les mots de passe traditionnels sont quasiment devenus obsolètes et les VPN deviennent chaque jour plus redondants. Pourquoi ? Parce que nous devons pouvoir nous connecter n'importe où, rapidement, afin d'encourager la liberté du personnel et d'améliorer le déroulement des opérations.
L'expansion continue du monde connecté comporte un risque inhérent au regard des menaces pour la cybersécurité. Cette réalité devrait inciter les RSSI, les CSO et l'ensemble des cadres de direction à souligner que la sécurité Zero Trust est indispensable à la protection de votre entreprise et de ses réseaux.
L'époque où les experts de l'informatique et de la sécurité étaient les seuls utilisateurs à devoir comprendre le réseau et les menaces qui pèsent sur lui est désormais révolue. Nous vivons à une époque où la protection de l'entreprise et des réseaux exige davantage des collaborateurs que la simple « maîtrise de l'outil informatique ».
Le personnel peut devenir votre première et dernière ligne de défense face aux cybermenaces ; il est donc indispensable de créer une culture de la cybersécurité au sein de votre entreprise. Alors, pourquoi ne pas créer cette culture, étant donné la nature évolutive de la cybersécurité sur le lieu de travail ? Les avantages de l'architecture Zero Trust en termes de sécurité sont manifestes et démontrés ; cependant, les collaborateurs doivent être informés sur la finalité du déploiement de la sécurité Zero Trust sur leur réseau.
Pour tirer parti de cette approche, il est important de prioriser le développement et la formation des collaborateurs, afin qu'ils comprennent leur réseau et la cybersécurité ; cette démarche permettra de renforcer le réseau dans son ensemble et d'éliminer les vulnérabilités. Les collaborateurs doivent être régulièrement formés à l'utilisation de la sécurité Zero Trust et au raisonnement sur lequel repose cette approche ; il convient notamment de leur expliquer que les mesures prises ont pour but de protéger, et non de surveiller.
L'objectif ultime est de créer un environnement dans lequel les collaborateurs comprennent les avantages et sont encouragés à travailler avec la sécurité Zero Trust, plutôt que de s'y opposer.
Face au risque croissant de cyberattaques et de failles de sécurité, les entreprises doivent mettre en œuvre des stratégies appropriées pour protéger leurs ressources et leurs données. Former et perfectionner les collaborateurs en matière de cybersécurité et créer un état d'esprit Zero Trust est un bon début !
Si une entreprise n'examine pas, n'actualise pas et n'améliore pas régulièrement la sécurité de son réseau, elle se rend inutilement vulnérable. La sécurité Zero Trust peut paraître compliquée, voire inquiétante ; cependant, l'adoption de ce modèle de sécurité est une évidence pour les entreprises qui souhaitent s'assurer d'être correctement protégées.
Cloudflare Zero Trust vérifie, filtre, isole et inspecte l'ensemble du trafic réseau – tout cela, sur une plateforme uniforme et composable, pour une configuration et des opérations faciles. Avec une infrastructure virtuelle sécurisée reposant sur un réseau mondial couvrant 330 villes et doté de plus de 12 500 interconnexions, la solution offre des avantages considérables en matière de sécurité, de performance et de fiabilité par rapport au réseau Internet public.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a initialement été rédigé pour Technology Decisions
Pour en savoir plus sur la sécurité Zero Trust et comment faire vos premiers pas, consultez le guide « Roadmap pratique de l'architecture Zero Trust ».
Raymond Maisano — @rmaisano
Responsable SASE APJC, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Le personnel est souvent la première et la dernière ligne de défense face aux cybermenaces.
Il est devenu plus difficile pour les services informatiques des entreprises de garder le contrôle.
Comment l'approche Zero Trust permet un contrôle et une validation continus