Guide du Zero Trust
5 projets simples pour faire progresser l'adoption du Zero Trust
L'adoption du Zero Trust est un processus complexe, mais les premiers pas sur ce parcours n'ont pas à l'être
Le parcours menant à l'adoption d'une sécurité Zero Trust est largement reconnu comme un processus difficile. De bien des façons, cette réputation s'avère d'ailleurs amplement justifiée. La méthode Zero Trust implique des efforts à l'égard desquels les équipes informatiques et de sécurité font preuve d'une prudence bien légitime : repenser les politiques autorisant l'accès par défaut et l'architecture réseau fondée sur le principe de périmètre, assurer la collaboration entre des équipes fonctionnellement différentes et accorder sa confiance à de nouveaux services de sécurité. Les entreprises peuvent ainsi remettre cette transformation à plus tard pour toutes sortes de raisons, notamment les suivantes :
Contraintes de capacité par rapport aux projets concurrents.
Variation de l'offre des fournisseurs de solutions Zero Trust.
Incertitude concernant l'emplacement dans lequel les diverses applications et ressources résident sur le réseau.
Perturbations dans la productivité des employés
Le cadre Zero Trust est globalement complexe ; la feuille de route complète de l'architecture Zero Trust compte 28 projets complets. Cependant, certains projets ne nécessitent que des efforts comparativement minimes, même pour les petites équipes ne disposant que de peu de temps.
Adoption du Zero Trust par fragments
Dans un contexte de mise en réseau, la sécurité Zero Trust exige que chaque requête entrant, sortant ou circulant à l'intérieur d'un réseau d'entreprise fasse l'objet de mesures d'inspection, d'authentification, de chiffrement et de journalisation. Cette méthodologie s'appuie sur l'idée qu'aucune requête ne doit bénéficier d'une confiance implicite, quelle que soit sa provenance ou sa destination.
La progression rapide vers le Zero Trust implique la mise en place de ces fonctionnalités aux endroits où elles ne sont pas encore présentes à l'heure actuelle. Pour les entreprises qui commencent le parcours depuis le départ, le processus nécessite souvent d'étendre ces capacités au-delà du simple « périmètre du réseau ».
Vous trouverez ci-dessous cinq des projets les plus simples à mettre en œuvre pour adopter le Zero Trust. Ces projets se concentrent plus particulièrement sur la sécurisation des utilisateurs, des applications, des réseaux et du trafic Internet. Ils ne vous permettront pas d'atteindre le Zero Trust par eux-mêmes, mais vous offriront néanmoins des avantages immédiats, tout en créant une dynamique précoce ouvrant la voie à une transformation plus large.
PROJET 1
Appliquer l'authentification multifacteur aux applications essentielles
Dans un environnement Zero Trust, le réseau doit être intimement persuadé que les requêtes proviennent bien d'entités dignes de confiance. Les entreprises doivent définir des mesures de protection contre le vol des identifiants utilisateur lors d'attaques par phishing ou de fuites de données. L'authentification multifacteurs (MFA, Multi-Factor Authentication) constitue la meilleure protection contre les vols d'identifiants. Le déploiement complet d'une solution MFA pouvant demander un temps considérable, le fait de se concentrer sur les applications les plus essentielles permet de progresser avec plus de simplicité, tout en garantissant des effets positifs.
Les entreprises ayant déjà mis en place un fournisseur d'identité peuvent configurer directement leur MFA au sein de ce dernier (par le biais de codes à usage unique ou de notifications push envoyées via une application dédiée sur les appareils mobiles des collaborateurs, par exemple). Pour les applications qui ne s'intègrent pas directement à votre fournisseur d'identité (IdP), vous pouvez envisager de déployer un proxy inverse pour applications en amont de l'application devant mettre en œuvre la MFA.
Les entreprises n'ayant pas mis de fournisseur d'identité en place peuvent adopter une méthode différente de la MFA. L'utilisation de plateformes de réseaux sociaux, comme Google, LinkedIn et Facebook, ou encore de mots de passe à usage unique (OTP, One-Time Password) constitue un autre moyen de vérifier l'identité des utilisateurs. Il s'agit de moyens courants d'autoriser l'accès par les sous-traitants tiers sans les ajouter à un fournisseur d'identité d'entreprise, et ces mesures peuvent également être appliquées au sein de l'entreprise elle-même.
PROJET 2
Application de la politique Zero Trust aux applications essentielles
La mise en application du Zero Trust implique plus que la simple vérification de l'identité des utilisateurs. Les applications doivent également être protégées à l'aide de politiques qui vérifient toujours les requêtes, examinent un vaste ensemble de facteurs comportementaux et contextuels avant d'authentifier un utilisateur, et surveillent l'activité en permanence. Comme pour le projet nᵒ 1, la mise en œuvre de ces politiques s'avère plus facile lorsque celles-ci sont appliquées à une liste initiale d'applications essentielles.
Le processus varie en fonction du type d'application concerné :
Applications privées auto-hébergées (uniquement adressables sur le réseau de l'entreprise)
Applications publiques auto-hébergées (adressables sur l'ensemble d'Internet)
Applications SaaS
PROJET 3
Surveiller les applications de courrier électronique et filtrer les tentatives de phishing
Le courrier électronique constitue le principal moyen de communication des entreprises, l'application SaaS la plus utilisée et le point d'entrée le plus courant pour les acteurs malveillants. Les entreprises doivent appliquer les principes Zero Trust aux e-mails afin de compléter leurs mesures standard de filtrage et d'inspection des menaces.
La sécurité doit également envisager la possibilité d'utiliser un navigateur isolé pour mettre en quarantaine les liens qui ne sont pas suffisamment suspects pour être complètement bloqués.
PROJET 4
Fermer tous les ports entrants ouverts sur Internet à des fins de distribution des applications
Les ports entrants ouverts sur le réseau sont un vecteur d'attaque courant et doivent bénéficier d'une protection Zero Trust, qui n'accepte que le trafic provenant de sources connues, fiables et vérifiées.
Le technologies d'analyse permettent d'identifier ces ports. Ensuite, un proxy inverse Zero Trust est en mesure d'exposer une application web à l'Internet public de manière sécurisée, sans ouvrir de port entrant. Le seul enregistrement publiquement visible de l'application sera son enregistrement DNS, qui peut être protégé à l'aide d'une authentification Zero Trust et de fonctionnalités de journalisation.
Vous pouvez utiliser un service d'accès réseau Zero Trust pour tirer parti d'une solution d'accès réseau Zero Trust, afin de bénéficier d'une couche de sécurité supplémentaire.
PROJET 5
Bloquer les requêtes DNS vers les menaces ou les destinations à risque connues
Le filtrage DNS correspond à la pratique visant à empêcher les utilisateurs d'accéder aux sites web (et aux autres ressources Internet) connus pour être malveillants ou fortement soupçonnés de l'être. Ce dernier n'est pas toujours mentionné dans les discussions autour du Zero Trust, car il n'implique ni l'inspection ni la journalisation du trafic. Il peut toutefois circonscrire les emplacements de transfert et d'importation de données pour les utilisateurs (ou les groupes d'utilisateurs), soit une mesure qui s'inscrit parfaitement dans la philosophie Zero Trust au sens plus large.
Vous pouvez appliquer le filtrage DNS via la configuration du routeur ou directement sur la machine d'un utilisateur.
Comprendre le Zero Trust dans son ensemble
La mise en œuvre de ces projets peut constituer un moyen relativement simple de s'essayer au Zero Trust. Par ailleurs, toute entreprise qui les mettra en place progressera de manière significative vers une sécurité plus efficace et plus moderne.
L'adoption plus large du Zero Trust demeure toutefois un sujet compliqué. Pour vous aider, nous avons élaboré une feuille de route sans parti pris du point de vue des fournisseurs pour l'ensemble du parcours Zero Trust, couvrant ces cinq projets et des initiatives similaires. La mise en œuvre de certains d'entre eux demandera bien plus de quelques jours, mais la feuille de route peut apporter davantage de clarté sur ce que signifie l'adoption du Zero Trust.
Tous ces services sont intégrés dans le cloud de connectivité Cloudflare : une plateforme unifiée de services cloud-native conçue pour aider les entreprises à reprendre le contrôle de leur environnement informatique. Cloudflare est le leader dans le domaine du cloud de connectivité. L'entreprise permet aux sociétés et autres organisations de rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. Reposant sur l'un des réseaux les plus vastes et les plus interconnectés du monde, Cloudflare bloque chaque jour des milliards de menaces en ligne pour le compte de ses clients.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Points clés
Cet article vous permettra de comprendre les points suivants :
Les 28 projets de la feuille de route Zero Trust
Les cinq projets d'adoption du Zero Trust qui ne nécessitent que des efforts comparativement minimes
Les types de services qui permettent cette mise en œuvre
La procédure à suivre pour commencer à établir une feuille de route d'adoption pour votre entreprise
Ressources associées
Approfondir le sujet
Apprenez-en davantage sur l'architecture Zero Trust et commencez à planifier une feuille de route pour votre entreprise avec notre guide complet, le « Guide de l'architecture Zero Trust ».