theNet by CLOUDFLARE

Des acronymes aux actions : démystifier la sécurité Zero Trust

Zero Trust : ce terme circule depuis ce qui semble maintenant être une éternité. Pourtant, malgré sa longue existence, il conserve une certaine aura mystique, une énigme rendue encore plus complexe par la kyrielle d'acronymes qui gravitent autour de lui : SSE, SASE, SWG, ZTNA, CASB, RBI... La liste paraît interminable.

Les entreprises, prises au cœur de la tourmente, sont happées par un tourbillon de confusion, confrontées à un océan de fournisseurs déclarant chacun que leur produit Zero Trust constitue la solution définitive à tous les problèmes de sécurité. Mais, comme vous le diront tous les experts (ainsi que leur cousin), la mise en œuvre de la sécurité Zero Trust est bien plus complexe que l'achat d'un produit dans le rayon d'un magasin ; il s'agit plutôt d'une philosophie. Hélas, toutefois, les philosophies s'avèrent difficiles à déployer pour les entreprises, et celles-ci finissent par avoir besoin d'une technologie ou d'une solution permettant de rendre les choses concrètes. Et c'est justement à cet instant que s'installe le plus souvent la confusion.


Sécuriser l'utilisateur

Examinons maintenant ce qui se dissimule derrière l'expression « Zero Trust », et passons de l'ésotérique au tangible. Nous nous concentrerons sur l'aspect pour lequel la sécurité Zero Trust fait vraiment la différence : la protection de l'utilisateur. Historiquement, les utilisateurs de réseaux disposaient d'un accès presque illimité aux ressources de l'entreprise, sauf lorsqu'ils étaient occasionnellement invités à saisir un nom d'utilisateur et un mot de passe. Or, cette situation pouvait devenir très problématique lorsque les informations d'identification ou l'appareil d'un utilisateur étaient compromis par un pirate informatique. L'approche idéale consistait donc à mettre en place un système permettant de protéger l'utilisateur et son appareil, sans toutefois créer une charge supplémentaire, susceptible de compromettre la productivité. Certains ont comparé la sécurité Zero Trust à du papier bulle invisible pour les utilisateurs. L'analogie est étrange, mais elle correspond parfaitement à l'objectif de la sécurité Zero Trust : allier une sécurité renforcée à une expérience utilisateur fluide.

Ceci nous amène à évoquer le VPN, l'enfant chéri de la cybersécurité, et le sujet de nombreuses critiques. Par sa nature encombrante et difficilement gérable, le VPN s'apparente à un écho de l'ère de l'Internet à accès commuté – toutefois, sans les tonalités du modem. Vous démarrez votre client VPN, vous saisissez vos informations d'identification, vous patientez pendant la connexion, vous vous orientez dans le dédale de l'intranet de l'entreprise, puis vous vous déconnectez et vous retrouvez l'Internet classique. Le « tango du VPN » est une chorégraphie bien rodée.

L'avènement du télétravail a placé les VPN sous les feux de la rampe, et c'est alors que les lacunes du système ont commencé à devenir apparentes. Les applications pour entreprises traditionnelles ont été délaissées au profit d'alternatives SaaS, provoquant, parmi les fournisseurs de VPN, une course effrénée pour ne pas se laisser distancer. Quel a été le résultat ? Des goulets d'étranglement et des ralentissements des connexions, voire des pannes de connectivité. La sécurité des VPN repose fréquemment sur l'association d'un identifiant de connexion et d'un mot de passe, et la solution fournit aux utilisateurs distants un accès réseau identique à celui accordé aux utilisateurs sur site.

Le résultat est limpide. Les VPN sont excessivement vastes, perturbent l'expérience utilisateur, s'intègrent difficilement au cloud et constituent une solution peu convaincante au regard de l'évolutivité et de l'accès omniprésent. Si vous ajoutez à cela la menace d'une attaque DDoS ciblant la fragile infrastructure VPN, tous les ingrédients d'un désastre sont réunis.

Une nouvelle ère débute : l'ère du « travail nomade ». La croissance explosive du nombre d'applications dans le cloud, d'utilisateurs distants et d'appareils personnels nécessite une refonte totale du modèle de sécurité périmétrique des réseaux. La « vieille garde », c'est-à-dire les solutions VPN basées sur des équipements, n'est tout simplement plus à la hauteur. C'est ici qu'entre en scène l'accès réseau Zero Trust (ZTNA, Zero Trust Network Access).


La philosophie Zero Trust en action

La philosophie Zero Trust repose sur un principe simple : ne jamais faire confiance, toujours vérifier. La sécurité ZTNA incarne cette philosophie en déployant un accès direct, granulaire et contextuel aux ressources, sans accorder d'accès réseau excessivement étendu. Elle change la donne en réunissant une expérience utilisateur supérieure, une sécurité solide, de la visibilité et de l'évolutivité. Elle est la solution idéale pour le personnel hybride moderne.

Toutefois, la philosophie Zero Trust ne se limite pas aux accès à distance ; c'est une évidence. Les principes de la sécurité Zero Trust s'étendent au navigateur Internet, avec les passerelles web sécurisées (SWG, Secure Web Gateway) et les services d'isolement de navigateur à distance (RBI, Remote Browser Isolation). Et n'oublions pas non plus les e-mails : en effet, plus de 90 % des attaques commencent par un e-mail de phishing. Je suis désormais convaincu que la philosophie « ne jamais faire confiance, toujours vérifier » devrait être étendue aux boîtes de réception, avec une protection contre les e-mails liés au phishing.

La défense des utilisateurs finaux est primordiale, mais la protection des données importantes des entreprises est également essentielle. Les solutions CASB et DLP font également partie de l'univers Zero Trust, en contribuant à prévenir les fuites de données ; à l'ère de l'IA et des chatbots, cette problématique est plus pertinente que jamais. L'établissement, la mise en œuvre et le contrôle de politiques spécifiant de quelle manière et vers quels emplacements les données peuvent transiter sur votre réseau constituent également une part importante de l'approche Zero Trust. Et tandis que les entreprises réorganisent leurs réseaux autour d'architectures de sécurité définies par logiciel, la pertinence du modèle Zero Trust ne fait qu'augmenter.

Si la sécurité Zero Trust est la panacée tant promise, pourquoi n'est-elle pas adoptée par tous ?Si aujourd'hui, nous devions développer une solution en partant de rien, la sécurité Zero Trust serait un choix sans équivoque. Nous choisirions une plateforme Zero Trust, nous connecterions le service IDP de notre choix et nous commencerions rapidement à provisionner les utilisateurs avec la solution ZTNA et le reste de notre arsenal. Toutefois, aucune transition n'est instantanée. Dans de nombreux cas, cela est dû au fait que les équipes chargées du réseau et de la sécurité ne sont pas synchronisées ;. dans d'autres cas, c'est l'investissement considérable déjà consacré à l'infrastructure VPN actuelle qui freine le changement. Il est même envisageable que l'entreprise manque de ressources pour mettre en œuvre le changement. Soyons clairs, toutefois : il s'agit d'explications, et non de justifications.

Nous savons que les menaces qui pèsent sur la sécurité sont non seulement réelles, mais qu'elles s'intensifient également. L'utilisateur est vulnérable, et il doit continuellement travailler avec la crainte de déclencher une cyberattaque par inadvertance, en cliquant malencontreusement sur un lien contenu dans un e-mail. Au lieu d'incriminer l'utilisateur, toutefois, c'est à nous, responsables de la sécurité, qu'il devrait incomber de protéger nos utilisateurs. Le modèle Zero Trust, avec son principe consistant à « ne jamais faire confiance, toujours vérifier », offre une stratégie efficace et adaptable, permettant de combler les lacunes des VPN traditionnels et des solutions de sécurité basées sur le réseau. Et la manière la plus simple de mettre en œuvre la sécurité Zero Trust consiste à déployer une plateforme unique, plutôt que de réunir des solutions dédiées, provenant d'une multitude de fournisseurs. L'adoption de la sécurité Zero Trust, permettant de bénéficier d'une protection à plusieurs couches pour les utilisateurs finaux et les données, n'est pas forcément une démarche complexe. Toutefois, à l'ère du télétravail, des solutions SaaS et de l'IA, l'adoption de la sécurité Zero Trust n'est pas seulement un choix stratégique – il s'agit d'une nécessité.


Les fondations de la confiance

L'adoption du modèle Zero Trust représente un changement de paradigme crucial dans le panorama continuellement changeant de la cybersécurité. En reconnaissant que les défenses périmétriques traditionnelles ne sont désormais plus suffisantes, les entreprises peuvent bénéficier de nombreux avantages, parmi lesquels une protection renforcée des données, une diminution des surfaces d'attaque et une résilience accrue contre les menaces sophistiquées. L'adoption de la sécurité Zero Trust n'est pas seulement un choix technologique ; il s'agit d'un impératif stratégique, qui permet aux organisations de protéger leurs ressources vitales et de poser les fondations de la confiance dans un monde par ailleurs incertain.

Cloudflare permet aux entreprises de déployer la sécurité Zero Trust avec une offre regroupant des fonctionnalités de sécurité et de réseau en tant que service (SASE), réunissant la sécurité, les performances et la fiabilité dans une suite complète. Tirant parti de la portée mondiale du réseau Cloudflare, la solution Cloudflare fournit des connexions Internet rapides et fiables, quel que soit l'endroit depuis lequel votre personnel travaille. Lorsque la sécurité Zero Trust est appliquée à chaque demande d'accès, tout le trafic est authentifié, et votre personnel et vos données sont protégés contre les menaces. Avec Cloudflare Zero Trust, vous pouvez empêcher les accès indésirables, atténuer l'incidence des pertes de données et prendre le contrôle de tous les paramètres depuis une interface unifiée. Quelle que soit l'étape de votre parcours de transformation numérique à laquelle vous vous trouvez, vous êtes couvert.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.


Auteur

John Engates – @jengates Field CTO, Cloudflare



Points clés

Cet article vous permettra de comprendre les points suivants :

  • Les exigences en matière de protection des utilisateurs et des données ont changé

  • La sécurité Zero Trust offre une protection complète

  • Comment bâtir les fondations de la confiance et prendre le contrôle


Autres articles de la même série


Recevez un récapitulatif mensuel des tendances Internet les plus populaires !