Les arguments économiques en faveur du Zero Trust
Imaginez que vous dirigez une entreprise qui propose une excellente politique de travail flexible, signifiant qu'un jour donné, votre équipe peut se connecter depuis n'importe quel endroit. Par ailleurs, chaque collaborateur possède plusieurs appareils et utilise des connexions WiFi offrant des niveaux variables de connectivité et de sécurité Internet, sur lesquels vous ne disposez que d'un contrôle limité. À cela s'ajoutent les équipements, les logiciels et tout ce qui gravite autour. En outre, ces membres de l'équipe et ces appareils peuvent être la cible de cyberattaques plus ou moins importantes et complexes. Que pouvez-vous faire pour vous assurer que vos équipes et votre entreprise sont efficacement protégées contre les cyber-vulnérabilités potentielles ?
En réalité, les entreprises de toute taille doivent désormais se moderniser et adopter de nouvelles mesures de sécurité afin de protéger leurs systèmes et leur infrastructure, compte tenu des récentes tendances en matière de transformation numérique et de télétravail, ainsi que des avancées technologiques continues.
Certaines entreprises deviennent malheureusement vulnérables, car elles manquent de la prévoyance et des conseils nécessaires pour adopter efficacement des mesures de sécurité robustes. Le problème est très simple : en l'absence d'une approche de protection solide et résiliente du réseau, comme la sécurité Zero Trust, la compromission des systèmes n'est qu'une question de temps, quels que soient la taille ou le type d'entreprise.
L'abandon du travail sur site au profit du travail hybride a entraîné une importante dissémination des données et des ressources qui a, à son tour, généré des complexités pour les entreprises désireuses de connecter leurs ressources de manière instantanée et sécurisée. Les services IT des entreprises se sont vus retirer leur contrôle : les collaborateurs utilisent désormais différents réseaux et appareils qui laissent les entreprises vulnérables aux menaces envers la cybersécurité. La réduction des dispositifs de protection conventionnelle des infrastructures sur site et l'avènement du travail à domicile ont créé des vulnérabilités qui compromettent la sécurité des réseaux d'entreprise.
Qu'est-ce que le Zero Trust ?
Le modèle de cybersécurité Zero Trust limite fortement l'accès aux ressources en ne faisant confiance à aucun utilisateur, qu'il soit connecté à distance ou présent à l'intérieur du réseau. Cette approche permet de contrôler individuellement toutes les requêtes adressées à chacune des ressources. Avec les autres formes traditionnelles de sécurité réseau, une menace qui parvient à franchir les défenses et à pénétrer les systèmes d'une entreprise a toute latitude pour se déplacer à sa convenance.
Lors de l'application d'un cadre de sécurité Zero Trust, aucun utilisateur n'est automatiquement considéré comme digne de confiance, car le système part du principe selon lequel des menaces se situent à l'intérieur et à l'extérieur du réseau. Cette approche consiste à vérifier régulièrement l'identité de l'utilisateur, ses privilèges, ainsi que l'identité et le niveau de sécurité de l'appareil. Les ouvertures de session et les connexions expireront sans cesse afin de s'assurer que les utilisateurs et les appareils se réauthentifient régulièrement.
Par ailleurs, les entreprises qui adoptent un cadre de sécurité Zero Trust peuvent assurer une surveillance et une validation en continu afin de contrôler et de limiter l'accès au réseau. Elles s'appuient pour ce faire sur les principes fondamentaux de la sécurité Zero Trust, à savoir la limitation des privilèges en matière d'accès, la micro-segmentation et l'authentification multi-facteurs (MFA).
Dynamiser la productivité des équipes
Le personnel souhaite bénéficier d'une expérience utilisateur simple et rapide, que ce soit lors de la connexion, lors du partage de fichiers ou lors de la configuration de ses appareils, le premier jour. Des mesures de sécurité obsolètes et inefficaces ne font que le ralentir dans son travail, quel que soit son rôle. C'est une chose dont personne ne veut.
La principale raison pour laquelle nous utilisons la sécurité Zero Trust réside dans sa capacité à assurer une sécurité à tous les utilisateurs, sur tous les sites et sur tous les appareils. La sécurité Zero Trust amoindrit considérablement le temps consacré aux tâches de sécurité manuelles, réduit la surface d'attaque et, en fin de compte, améliore la productivité des équipes en leur redonnant le temps qu'elles auraient autrement consacré à des mesures de sécurité obsolètes.
Nous observons, en conséquence, une évolution en profondeur des protocoles de sécurité : l'environnement du « château entouré de douves » n'existe plus, les mots de passe traditionnels sont quasiment devenus obsolètes et les VPN deviennent chaque jour plus redondants. Pourquoi ? Parce que nous devons pouvoir nous connecter n'importe où, rapidement, afin d'encourager la liberté du personnel et d'améliorer le déroulement des opérations.
L'expansion constante du monde connecté s'accompagne d'un risque inhérent de menaces envers la cybersécurité. Cette réalité devrait inciter les RSSI, les CSO et l'ensemble des cadres dirigeants à souligner le caractère indispensable du Zero Trust pour la protection de votre entreprise et de ses réseaux.
Ne sous-estimez pas vos collaborateurs
L'époque où les experts de l'informatique et de la sécurité étaient les seuls utilisateurs à devoir comprendre le réseau et les menaces qui pèsent sur lui est désormais révolue. Nous vivons à une époque où la protection de l'entreprise et des réseaux exige davantage des collaborateurs que la simple « maîtrise de l'outil informatique ».
Vos collaborateurs peuvent devenir votre première et votre dernière ligne de défense face aux cybermenaces. Il est donc indispensable de mettre en place une culture de la cybersécurité au sein de votre entreprise. Alors, pourquoi ne pas créer cette culture, étant donné la nature évolutive de la cybersécurité sur le lieu de travail ? Les avantages du Zero Trust en termes de sécurité sont manifestes et démontrés. Toutefois, les collaborateurs doivent être informés de la finalité du Zero Trust sur leur réseau.
Pour tirer parti de cette approche, vous devez accorder la priorité au développement et à la formation de vos collaborateurs afin qu'ils comprennent mieux leur réseau et la cybersécurité. Cette démarche vous permettra de renforcer le réseau dans son ensemble et d'éliminer les vulnérabilités. Vos collaborateurs doivent être régulièrement formés à l'utilisation de la sécurité Zero Trust et au raisonnement sur lequel repose cette approche. Il convient notamment de leur expliquer que les mesures prises ont pour but de les protéger, pas de les surveiller.
L'objectif ultime consiste à donner naissance à un environnement au sein duquel vos collaborateurs comprennent les avantages du Zero Trust et qui encourage vos collaborateurs à travailler avec plutôt qu'à s'y opposer.
Le Zero Trust est plus que jamais nécessaire
Face au risque croissant de cyberattaques et de violations de la sécurité, les entreprises doivent mettre en œuvre des stratégies appropriées pour protéger leurs ressources et leurs données. La mise en place de formations et de stages de mise à niveau de vos collaborateurs en matière de cybersécurité constitue un bon début, de même que la création d'un état d'esprit Zero Trust !
Une entreprise qui n'examine pas, n'actualise pas et n'améliore pas régulièrement la sécurité de son réseau se rend inutilement vulnérable. Le Zero Trust peut paraître compliqué, voire inquiétant. Toutefois, l'adoption de ce modèle de sécurité est une évidence pour les entreprises qui souhaitent s'assurer d'être correctement protégées.
Cloudflare Zero Trust vérifie, filtre, isole et inspecte l'ensemble du trafic réseau – tout cela, sur une plateforme uniforme et composable, pour une configuration et des opérations faciles. Avec une infrastructure virtuelle sécurisée reposant sur un réseau mondial couvrant 330 villes et doté de plus de 13 000 interconnexions, la solution offre des avantages considérables en matière de sécurité, de performance et de fiabilité par rapport au réseau Internet public.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la sécurité Zero Trust et les premiers pas à suivre pour vous lancer dans notre guide intitulé Roadmap pratique de l'architecture Zero Trust.
Auteur
Raymond Maisano — @rmaisano
Responsable SASE APJC, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Le personnel est souvent la première et la dernière ligne de défense face aux cybermenaces.
Il est devenu plus difficile pour les services informatiques des entreprises de garder le contrôle.
Comment le cadre Zero Trust permet la mise en place d'un processus de surveillance et de validation en continu