Qu’est-ce que le Zero Trust et quels cadres et normes peuvent vous aider à intégrer ces principes de sécurité dans vos stratégies de cybersécurité ?
De nombreux clients IBM veulent savoir ce qu’est exactement la sécurité Zero Trust et si elle s’applique à leur cas. Saisir le concept Zero Trust et son évolution vous aidera, ainsi que bon nombre de nos clients, à comprendre comment le mettre en œuvre au mieux pour protéger les actifs les plus précieux de votre entreprise.
Le Zero Trust est un cadre qui suppose que chaque connexion et chaque terminal constituent des menaces, tant externes qu’internes, dans le contexte de la sécurité réseau d’une entreprise. Il permet aux entreprises d’élaborer une stratégie informatique complète pour répondre aux besoins des environnements de cloud hybride en matière de sécurité. Le Zero Trust met en œuvre une protection adaptative et continue, et il offre la possibilité de gérer les menaces de manière proactive.
En d’autres termes, dans cette approche, la confiance n’est jamais accordée aux utilisateurs, aux appareils ou aux connexions, pour quelque transaction que ce soit, et tous ces éléments sont vérifiés pour chaque transaction. Cela permet aux entreprises de renforcer leur sécurité et de gagner en visibilité sur l’ensemble de leurs activités, et d’appliquer des politiques de sécurité cohérentes, ce qui se traduit par une détection des menaces et une réponse plus rapides.
Le Zero Trust trouve son origine dans l’initiative « BeyondCorp » développée par Google en 2010. L’objectif de l’initiative était de sécuriser l’accès aux ressources en fonction des identités et du contexte, en s’éloignant du modèle de sécurité traditionnel basé sur le périmètre. Cette stratégie a permis à Google de fournir à ses employés un accès sécurisé aux applications et aux données de l’entreprise depuis n’importe quel appareil, sans avoir besoin d’un VPN.
En 2014, l’analyste de Forrester Research John Kindervag a inventé le concept de Zero Trust pour décrire ce nouveau paradigme de sécurité dans un rapport intitulé « The Zero Trust Model of Information Security ». Il a proposé un nouveau modèle de sécurité qui suppose qu’on ne peut faire confiance à personne, que ce soit à l’intérieur ou à l’extérieur du réseau de l’organisation, sans vérification. Le rapport s’appuie sur deux principes fondamentaux pour décrire le modèle Zero Trust : « Ne jamais faire confiance, toujours vérifier ».
Tous les utilisateurs, tous les appareils et toutes les applications sont considérés comme non fiables et doivent être vérifiés avant que ne puisse leur être octroyée une autorisation d’accès aux ressources. Selon le principe du moindre privilège, chaque utilisateur ou appareil bénéficie du niveau d’accès minimum requis pour effectuer son travail, et l’accès n’est accordé qu’aux personnes qui en ont besoin.
Depuis lors, le concept de Zero Trust ne cesse de gagner du terrain, de nombreuses organisations adoptant ce type d’architecture pour mieux protéger leurs actifs numériques contre les cybermenaces. Ce cadre englobe divers principes et technologies déployés pour renforcer la sécurité et réduire le risque de violation.
Ces modèles sont conçus pour fonctionner en symbiose et créer une architecture Zero Trust complète capable d’aider les organisations à réduire leur surface d’attaque, à améliorer leur posture de sécurité et à minimiser les risques de violation de la sécurité. Cependant, il est important de noter que les types spécifiques de modèles de sécurité Zero Trust et leur mise en œuvre peuvent varier en fonction de la taille de l’organisation, de son secteur d’activité et de ses besoins spécifiques en matière de sécurité.
Le Zero Trust est devenu une approche populaire de la cybersécurité moderne. De nombreuses organisations l’ont adopté pour faire face à la menace croissante que représentent les cyberattaques et les violations de données dans le monde complexe et interconnecté d’aujourd’hui. En conséquence, de nombreux fournisseurs de technologies ont mis au point des produits et des services spécifiquement conçus pour soutenir les architectures Zero Trust.
Il existe également de nombreux cadres et standards que les organisations peuvent utiliser pour mettre en œuvre les principes de sécurité Zero Trust dans leurs stratégies de cybersécurité, avec les conseils du National Institute of Standards and Technology (NIST).
Le NIST est une agence gouvernementale non réglementaire du Département du Commerce des États-Unis, dont l’objectif est d’aider les entreprises à mieux comprendre, gérer et réduire les risques liés à la cybersécurité afin de protéger les réseaux et les données. L’agence a publié deux guides complets sur la sécurité Zero Trust dont la lecture est fortement recommandée :
Le guide NIST SP 800-207, Zero Trust Architecture (lien externe à ibm.com) fut la première publication à poser les bases de l’architecture Zero Trust. Il définit le Zero Trust comme un ensemble de principes directeurs (au lieu de technologies et de mises en œuvre spécifiques) et donne des exemples d’architectures Zero Trust.
Le guide NIST SP 800-207 souligne l’importance d’une surveillance continue et d’une prise de décision adaptative basée sur les risques. Il recommande de mettre en œuvre une architecture Zero Trust avec les sept piliers du Zero Trust (traditionnellement appelés les sept principes du Zero Trust).
Dans l’ensemble, le guide NIST SP 800-207 promeut une approche globale du Zero Trust basée sur les principes du moindre privilège, de la microsegmentation et de la surveillance continue, encourageant les organisations à mettre en œuvre une approche de la sécurité en couches intégrant plusieurs technologies et contrôles pour se protéger contre les menaces.
Le guide NIST SP 1800-35B, Implementing a Zero Trust Architecture (lien externe à ibm.com) est l’autre publication du NIST dont la lecture est fortement recommandée. Il s’articule autour de deux sujets principaux :
La publication met en corrélation les défis en matière de sécurité informatique (applicables aux secteurs privé et public) avec les principes et les composants d’une architecture Zero Trust afin que les organisations puissent d’abord autodiagnostiquer correctement leurs besoins. Elles peuvent ensuite adopter les principes et les composants d’une architecture Zero Trust correspondants pour y répondre. Par conséquent, le guide NIST SP 1800-35B n’identifie pas de types spécifiques de modèles Zero Trust.
Le NIST tire parti du développement itératif pour les quatre architectures Zero Trust mises en œuvre, ce qui lui permet d’apporter des améliorations progressives de manière simple et flexible et d’assurer la continuité avec le cadre Zero Trust à mesure de son évolution.
Le NIST a conclu des partenariats stratégiques avec de nombreuses organisations technologiques (comme IBM) qui collaborent pour garder une longueur d’avance sur ces changements et ces menaces émergentes.
Grâce à la collaboration, IBM peut prioriser le développement afin de garantir que les solutions technologiques sont conformes aux sept piliers et principes du Zero Trust, et que les systèmes et les données des clients IBM sont sécurisés et protégés.
Découvrez l’importance du Zero Trust dans le rapport 2022 d’IBM sur le coût d’une violation de données ou contactez directement l’un des experts d’IBM en matière de sécurité Zero Trust.