La confiance est un luxe que les responsables informatiques ont appris qu'ils ne peuvent pas se permettre en matière de gestion des identités et des accès.
Au cours de la dernière décennie et plus, le concept du périmètre de sécurité réseau traditionnel s'est érodé. Ce qui n'a pas diminué, c'est la nécessité pour les Organizations de réduire leur surface d'attaque et de contrôler l'accès. Cette réalité a consolidé Zero Trust comme un élément fondamental de la cybersécurité. Pourtant, après 15 ans, les Organizations apprennent que le chemin vers le Zero Trust n'est pas toujours direct.
« Beaucoup pensent que Zero Trust est quelque chose que l'on peut simplement acheter », déclare Bob Lyons, ingénieur principal en solutions chez Okta. « Mais ce n'est pas un simple produit ; c'est un framework et une philosophie stratégiques qui nécessitent une combinaison de politiques, de processus et de technologies intégrées. » Vous ne pouvez pas simplement acheter une solution et être conforme au Zero Trust.
Lyons a été le principal contributeur technique d'Okta pour la Publication spéciale (SP) 1800-35 du National Institute of Standards and Technology (NIST), publiée en juin. Le document fournit des informations sur la manière de construire une architecture Zero Trust (ZTA) à partir de 24 collaborateurs de l'industrie, y compris Okta. Showcase présente également 19 exemples d’implémentation conçus à l’aide de solutions commerciales prêtes à l’emploi.
« Nous constatons une reconnaissance claire de sa nécessité, en particulier lorsque les Organizations sont aux prises avec des effectifs de plus en plus distribués, des environnements multicloud et des paysages des menaces sophistiqués », déclare Lyons.
Faire du Zero Trust une réalité, cependant, est un voyage de petites étapes.
Au début, il y avait la confiance.
Les modèles de sécurité traditionnels faisaient l'hypothèse que tout ce qui se trouvait à l'intérieur du réseau était digne de confiance. Cependant, à mesure que les brèches devenaient plus fréquentes, il est devenu évident qu'une nouvelle approche était nécessaire — une approche qui n'accordait pas aveuglément une confiance sans fin aux utilisateurs après l'authentification. Ce modèle de confiance mais vérification a finalement été remplacé par une approche plus rigoureuse : ne jamais faire confiance, toujours vérifier. Zero Trust est né.
Aujourd'hui, la nature sans périmètre des entreprises a fait de Zero Trust un standard incontournable. Pourtant, des mythes sur le Zero Trust persistent. Deux idées fausses persistent en particulier : l'idée que le Zero Trust est un produit et la solution miracle pour toute stratégie de cybersécurité, déclare Alper Kerman, l'un des co-auteurs de SP 1800-35.
« Zero Trust n'est pas un remplacement des mesures de sécurité existantes, mais plutôt une stratégie de sécurité qui doit être intégrée à d'autres approches de sécurité afin de créer une posture de sécurité plus robuste et holistique », déclare Kerman
C'est l'objectif des directives fournisseur de services 1800-35 : aider les Organizations à progresser dans leur processus d'implémentation avec des exemples concrets. Pour commencer, le NIST recommande que les Organizations suivent ces étapes :
Découvrez et inventoriez l'environnement existant
Créez des politiques d'accès qui soutiennent les cas d'usage de l'entreprise
Identifiez les capacités de sécurité et la technologie existantes
Utilisez une approche basée sur les risques, centrée sur la valeur des données, pour aider à éliminer les lacunes en matière de politiques.
Mettre en œuvre les composants Zero Trust et exploiter progressivement les solutions de sécurité déployées
Vérifiez l’implémentation pour soutenir les résultats de Zero Trust
Améliorer et évoluer continuellement en réponse aux changements dans le paysage des menaces, de la mission, de la technologie et des exigences.
L'intégration des principes de Zero Trust dans les environnements informatiques existants, souvent hétérogènes, peut s'avérer une tâche ardue, explique Lyons, ajoutant que la résistance culturelle au changement peut également constituer des obstacles significatifs.
« Ces dernières années, l'adoption rapide de l'IA a introduit de nouvelles facettes à ces demandes d'authentification », dit-il. « Bien que l'IA offre un immense potentiel pour améliorer les capacités de Zero Trust grâce à la détection des menaces automatisée et aux politiques d'accès adaptatives, elle présente également de nouveaux vecteurs d'attaque et des préoccupations concernant l'intégrité des données que Organizations doivent aborder de manière proactive dans leurs frameworks Zero Trust. » C'est une évolution continue.
Mesurer la réussite
Le suivi du succès est essentiel et commence par l'établissement par les responsables de la sécurité d'une base de référence claire de la posture de sécurité de leur environnement, ajoute Lyons. Selon lui, les principales métriques à prendre en compte sont le pourcentage de menaces connues identifiées et bloquées avec succès par les contrôles Zero Trust, le pourcentage d'utilisateurs utilisant l'authentification multifacteur, et la surveillance du taux de réussite du refus d'accès non autorisé.
« Des audits et des examens réguliers des politiques sont également essentiels pour s'adapter à l'évolution des menaces et aux besoins changeants de l'entreprise », explique Lyons, ajoutant que cultiver une forte culture de sécurité avec une formation continue des employés facilitera une vigilance continue.
Kerman affirme que Organizations peuvent également monitorer le nombre de brèches de sécurité, le temps de détection des menaces et la fréquence à laquelle les anomalies et les vulnérabilités sont découvertes grâce à une surveillance continue accrue.
« L'analyse des différents types de logs et de télémétrie obtenus à partir de l'environnement peut aider à renforcer la sécurité en ajustant les politiques d'accès existantes, ainsi qu'en créant et en ajoutant de nouvelles politiques plus granulaires », explique Kerman. « Les ZTAs deviennent plus résilientes au fil du temps en utilisant ces types de métriques et différents types de logs pour renforcer la posture de sécurité de l'organisation. »
Une priorité stratégique
« Zero Trust n'est pas seulement une technologie ; c'est stratégique », dit Lyons.
Organizations devraient concentrer leurs efforts de Zero Trust sur un actif critique et de grande valeur ou sur un segment de réseau spécifique. Lier les objectifs de Zero Trust aux objectifs commerciaux, note-t-il, peut contribuer à accroître la probabilité d'obtenir l'adhésion de la direction et les ressources nécessaires pour faire d'une architecture Zero Trust une réalité.
« Par exemple, si la protection de la propriété intellectuelle est essentielle, le périmètre des données requises doit cibler les environnements de R&D », explique Lyons « L'alignement de Zero Trust avec les résultats de l'entreprise permet de hiérarchiser les efforts et de démontrer une valeur claire. »
Pour En savoir plus sur les raisons pour lesquelles l'identité est le nouveau périmètre de sécurité, lisez The ‘superuser’ blind spot: Why AI agents demand dedicated identity security.
