GUIDE

Le concept de Zero Trust : une approche novatrice pour renforcer la sécurité des systèmes d’information

Posted on by Gradasso Beausoleil
Le concept de Zero Trust : une approche novatrice pour renforcer la sécurité des systèmes d’information

Repenser la sécurité informatique : vers un modèle Zero Trust

À l’heure où les technologies et les modes de travail évoluent rapidement, les entreprises sont confrontées à de nouveaux défis en matière de sécurité informatique. Les anciennes méthodes de défense périmétrique ne suffisent plus à protéger les données et les systèmes contre les menaces croissantes. C’est dans ce contexte que le concept de Zero Trust (Zéro Confiance) émerge comme une solution prometteuse pour renforcer la sécurité des systèmes d’information.

Un changement de paradigme progressif et adapté

Le modèle Zero Trust repose sur une approche radicalement différente de la sécurité des systèmes d’information. Contrairement aux approches traditionnelles qui accordent une confiance implicite aux utilisateurs connectés au réseau interne de l’entreprise, le Zero Trust remet en question cette confiance. Au lieu de considérer les utilisateurs comme étant “de confiance”, le Zero Trust adopte une approche plus rigoureuse en appliquant des contrôles et des mesures de sécurité à chaque étape de l’accès aux ressources.

Cependant, il est important de noter que la transition vers un modèle Zero Trust ne peut pas se faire du jour au lendemain, surtout pour les entreprises qui ont déjà un système d’information établi. Une mise en œuvre progressive est recommandée, en commençant par l’intégration de nouvelles solutions de sécurité telles que le chiffrement des données, les outils de prévention des fuites de données et les contrôles de conformité. Le modèle Zero Trust peut ensuite être déployé progressivement, en transformant le système d’information existant en un hybride entre le modèle Zero Trust et le modèle périmétrique.

Les principes clés du modèle Zero Trust

Contrôles réguliers, dynamiques et granulaires

La démarche Zero Trust repose sur des contrôles d’accès réguliers, dynamiques et granulaires. Cela signifie que l’accès aux ressources doit être accordé uniquement en fonction du besoin réel de les connaître, et que les utilisateurs doivent bénéficier du niveau de privilège le plus faible possible pour effectuer leurs tâches. Peu importe l’origine de la demande d’accès, que ce soit de l’intérieur ou de l’extérieur de l’entreprise, les mêmes contrôles doivent être appliqués. La politique d’accès doit être dynamique et prendre en compte un large éventail de facteurs tels que l’identité de l’utilisateur, la sensibilité des ressources demandées et l’analyse comportementale de l’utilisateur. De plus, les authentifications et les autorisations d’accès doivent être régulièrement réévaluées.

Une approche axée sur plusieurs axes d’effort

Pour intégrer les principes du Zero Trust dans un système d’information existant, plusieurs axes d’effort peuvent être envisagés :

  • Amélioration de la gouvernance de l’identité : en contrôlant l’accès aux ressources en fonction de l’identification de l’utilisateur, de l’équipement utilisé et d’autres facteurs environnementaux.
  • Cloisonnement des ressources plus granulaire et dynamique : en regroupant les ressources en fonction de leur signification métier et en filtrant les flux entre ces groupes de manière indépendante des adresses IP.
  • Utilisation des moyens d’authentification à l’état de l’art : en privilégiant l’authentification à double facteur et en choisissant des facteurs d’authentification fiables tels que des certificats générés par une infrastructure de gestion de clés.
  • Renforcement des moyens de détection : en configurant judicieusement les journaux de sécurité et en formant les équipes de supervision de la sécurité pour réagir efficacement aux alarmes.
  • Configuration à l’état de l’art pour la sécurité des services : en suivant les recommandations des experts en matière de sécurité, tel que le guide TLS de l’ANSSI pour le chiffrement des flux.
  • Conduite du changement : en communiquant clairement avec les utilisateurs sur les nouvelles méthodes d’accès, d’authentification et d’alerte, en soulignant l’importance de la sécurité numérique.

Une transformation progressive et maîtrisée

Il est crucial de souligner que la transition vers un modèle Zero Trust doit être progressive et maîtrisée. Il n’existe pas de produit ou de composant normalisé pour mettre en œuvre le Zero Trust. De plus, il est essentiel de garder à l’esprit que l’adoption du modèle Zero Trust ne remplace en aucun cas l’inventaire et le contrôle des appareils utilisés pour accéder aux ressources et aux services.

En conclusion, le modèle Zero Trust offre une approche novatrice pour renforcer la sécurité des systèmes d’information dans un contexte de menaces toujours plus nombreuses et complexes. Cependant, il est important de procéder par étapes et de s’adapter aux spécificités de chaque entreprise. En suivant les principes de gestion des risques et en restant à jour sur les meilleures pratiques de sécurité, les entreprises pourront renforcer leur protection et assurer la continuité de leurs activités.

Référence

  1. Zero Trust Architecture, NIST Special Publication 800-207, août 2020.
[1] Bring Your Own Device / Apportez Votre Equipement Personnel [2] https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/ [3] https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/

Gradasso Beausoleil