Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Qu'est-ce qu'une architecture de confiance zéro ? Un guide complet

Charlie Bedell
Responsable du marketing de contenu
Illumio Editorial
Janvier 5, 2024
23 min. lire

Si votre organisation ne met pas en œuvre la confiance zéro, elle ne renforce pas sa résilience cybernétique.

Les menaces de cybersécurité évoluent sans cesse et les mécanismes de défense traditionnels ne suffisent plus. Les brèches et les attaques de ransomware étant inévitables, il est essentiel que les organisations adoptent la confiance zéro.

Dans ce guide complet, nous allons détailler ce que signifie construire une architecture de confiance zéro, en explorant son concept de base, les principes de conception du réseau et son rôle essentiel dans la sécurisation des données. En outre, nous nous pencherons sur l'aspect crucial de la segmentation de confiance zéro, un élément fondamental de toute architecture de confiance zéro.

Qu'est-ce qu'une stratégie de sécurité "zéro confiance" ?

À la base, le modèle de sécurité "Zero Trust" est un changement de paradigme par rapport au modèle de confiance traditionnel de la sécurité.

À une époque marquée par le travail à distance, les services en nuage et les réseaux hyperconnectés de plus en plus complexes, le modèle centré sur le périmètre n'est plus efficace. Le périmètre n'existe plus - il est réparti entre les environnements, les utilisateurs et les appareils dans le monde entier.  

Les technologies traditionnelles de prévention et de détection, bien qu'elles soient des éléments importants de toute pile de sécurité, ont été conçues lorsque les réseaux avaient des périmètres clairs et statiques. Aujourd'hui, ils ne suffisent pas à enrayer la propagation des brèches inévitables et des attaques par ransomware.  

Zero Trust reconnaît que les menaces peuvent provenir de sources externes et internes, ce qui nécessite une approche proactive et adaptative de la sécurité. Le modèle insiste sur le fait que les organisations ne doivent pas faire automatiquement confiance à une application ou à une charge de travail, quel que soit leur emplacement. Ils devraient plutôt partir du principe que des brèches se produiront et s'y préparer grâce à des technologies de confinement des brèches.  

Le modèle de confiance zéro a été créé par John Kindervag dans les années 2010 et se concentre sur :

  • Assurer une segmentation cohérente entre les sites et les hôtes, y compris les nuages publics et privés ainsi que les environnements sur site.
  • Supposer que le risque est inhérent à la fois à l'extérieur et à l'intérieur du réseau.
  • Remise en cause du modèle de sécurité fondé sur la confiance, en vigueur depuis des décennies, qui supposait que tout ce qui se trouvait à l'intérieur du réseau était autorisé de manière inhérente.

Il est important de noter que la confiance zéro n'est pas une technologie, un produit ou une plateforme - c'est un modèle architectural qui peut être mis en œuvre dans n'importe quelle organisation, quelle que soit sa taille, sa localisation ou son secteur d'activité.

Qu'est-ce qu'une architecture de confiance zéro ?

Contrairement aux modèles de sécurité traditionnels qui supposent une confiance implicite à l'intérieur du périmètre du réseau et un scepticisme à l'extérieur, la confiance zéro suppose une confiance inhérente nulle, tant à l'intérieur qu'à l'extérieur. Chaque charge de travail, application, utilisateur, appareil ou système qui tente d'accéder aux ressources est rigoureusement authentifié, autorisé et surveillé en permanence.

Si une chose est vraie pour toutes les brèches et tous les ransomwares, c'est qu'ils aiment se déplacer latéralement. L'objectif principal d'une architecture de confiance zéro est de répondre au risque de mouvement latéral et d'exfiltration de données par des brèches et des attaques de ransomware.  

Zero Trust ne part pas du principe qu'il est possible d'empêcher totalement les mouvements ou les exfiltrations. Au contraire, elle met en place des mesures proactives pour arrêter et ralentir les attaques lorsqu'elles se produisent.

Les cinq endroits les plus courants d'un réseau où se produisent des mouvements latéraux.

4 principes fondamentaux de conception de l'architecture "Zero Trust

La mise en œuvre d'une architecture de confiance zéro implique l'adhésion à des principes spécifiques et à des bonnes pratiques en matière de conception de réseau. Examinons les cinq éléments clés qui constituent un réseau robuste de confiance zéro :  

1. Accès au moindre privilège

Le principe du moindre privilège garantit que les utilisateurs et les systèmes disposent du niveau d'accès minimal requis pour accomplir leurs tâches. La surface d'attaque est ainsi limitée, ce qui réduit l'impact potentiel des incidents de sécurité. En n'accordant que les autorisations nécessaires, les organisations minimisent le risque d'accès non autorisé et de violation des données.

2. Authentification continue

‍Lesmodèles de sécurité traditionnels authentifient souvent les charges de travail, les applications et les utilisateurs uniquement au point d'entrée. Zero Trust préconise une authentification permanente à l'intérieur et à l'extérieur du réseau. Cette approche dynamique consiste à évaluer en permanence l'identité et les droits d'accès de la charge de travail, de l'application ou de l'utilisateur, et à les ajuster en fonction des changements de comportement en temps réel, de l'état de l'appareil et d'autres facteurs contextuels.

3. Fiabilité du point final

‍ZeroTrust étend son examen au-delà de l'authentification de l'utilisateur pour inclure la fiabilité des dispositifs d'extrémité. Les organisations doivent évaluer la sécurité des appareils, en tenant compte de facteurs tels que les niveaux de correctifs, les configurations de sécurité et la conformité avec les politiques de l'organisation. Seuls les appareils répondant à des normes de sécurité prédéfinies se voient accorder l'accès.

4. Segmentation sans confiance (ZTS)

Le ZTS, également appelé microsegmentation, est un élément fondamental de toute architecture de confiance zéro. Au lieu de s'appuyer sur un périmètre monolithique pour défendre l'ensemble du réseau, les entreprises utilisent les ZTS pour créer de petits segments isolés au sein du réseau. Chaque segment dispose de ses propres contrôles de sécurité, ce qui permet de limiter les mouvements latéraux et de contenir les brèches potentielles. Cette approche granulaire renforce la résilience cybernétique globale et aide à respecter de nombreux mandats de conformité en matière de sécurité mondiale.

Segmentation zéro confiance : Un élément fondamental de la confiance zéro  

Le ZTS est la pierre angulaire de toute architecture de confiance zéro, car il fournit un moyen efficace de compartimenter et de contrôler le trafic réseau. Cette approche consiste à diviser le réseau en segments plus petits et isolés, chacun disposant de son propre ensemble de contrôles de sécurité. Par rapport aux pare-feu statiques, le ZTS simplifie la segmentation du réseau.  

ZTS résout certains des problèmes de sécurité les plus urgents :

  • ‍Stopper lemouvement latéral : L'un des principaux objectifs du ZTS est d'empêcher les brèches et les attaques de ransomware de se propager au sein d'un réseau, ce que l'on appelle également le mouvement latéral. Dans les modèles de sécurité traditionnels, une fois qu'une menace accède au réseau, elle peut se déplacer librement, compromettant potentiellement des données sensibles, accédant à des actifs critiques et interrompant les opérations. Le ZTS limite ce mouvement latéral, empêchant ainsi les menaces de se propager sur le réseau.
  • Isolez et sécurisez les actifs critiques : En segmentant le réseau en fonction des fonctions de l'entreprise, de la sensibilité des données et des rôles des utilisateurs, les entreprises peuvent donner la priorité à la protection des actifs critiques. Les données et les systèmes de grande valeur peuvent être isolés dans des segments spécifiques avec des contrôles de sécurité renforcés, ce qui réduit le risque d'accès non autorisé.
  • Obtenez une visibilité de bout en bout sur la surface d'attaque hybride : ZTS reconnaît qu'une segmentation granulaire n'est pas possible sans une visibilité complète, de bout en bout, de l'ensemble du trafic et des communications des charges de travail et des applications sur l'ensemble du réseau, y compris le nuage, les points finaux et les centres de données. Les entreprises utilisent cette visibilité pour mieux appréhender les risques de sécurité et prendre des décisions plus éclairées sur les points à segmenter.
  • ‍Faciliter laconformité : Le ZTS répond à de nombreuses exigences de conformité réglementaire au niveau mondial. En offrant une visibilité de bout en bout, en définissant clairement la politique de sécurité et en cryptant les charges de travail en transit, ZTS aide les entreprises à démontrer qu'elles respectent les réglementations et les normes spécifiques à leur secteur d'activité.
  • Réponse granulaire et dynamique aux menaces : Le ZTS améliore la capacité d'une organisation à réagir avec souplesse aux menaces émergentes. En cas d'incident de sécurité ou d'activité suspecte, les entreprises peuvent rapidement isoler les segments affectés, minimisant ainsi l'impact potentiel sur l'ensemble du réseau.

8 étapes pour mettre en place une architecture de confiance zéro

L'adoption d'une architecture de confiance zéro nécessite une approche stratégique et progressive. Voici les étapes clés que les organisations devraient suivre pour mettre en œuvre la confiance zéro avec succès et comment Illumio ZTS peut vous aider :

1. Identifiez vos données

Pour commencer votre parcours Zero Trust, il est important de savoir ce que vous devez protéger. Faites l'inventaire de vos données sensibles pour savoir où elles se trouvent et ce qu'elles contiennent.

2. Découvrez le trafic

‍Onne peut pas garantir ce que l'on ne voit pas. La carte des dépendances applicatives d'Illumio ZTS peut vous aider à obtenir une visibilité complète et en temps réel des flux de trafic entre les applications et des dépendances applicatives afin que vous puissiez mieux comprendre la surface d'attaque de votre organisation. Assurez-vous que votre visibilité reflète les changements du réseau, en particulier les changements rapides dans le nuage, afin d'avoir une image précise du réseau en temps réel.

3. Définir la politique de sécurité

‍L'observation desflux de trafic réseau vous aidera à mettre en place une architecture de confiance zéro avec des règles de sécurité par défaut. Illumio ZTS peut vous aider à générer automatiquement la politique optimale pour chaque application et à identifier les flux de trafic à haut risque ou inutiles.  

4. Chiffrer les données en transit

‍Unepartie importante de toute architecture Zero Trust - en plus de nombreuses exigences de conformité - est le chiffrement des données en transit dans tous les environnements. Illumio ZTS permet le cryptage des données en transit au niveau de la charge de travail individuelle grâce à Illumio SecureConnect qui utilise les bibliothèques de cryptage IPSec présentes dans tous les systèmes d'exploitation modernes.

5. Test

‍Letest de vos nouvelles politiques de sécurité Zero Trust est une partie essentielle du flux de travail, car il vous permet de modéliser l'impact des politiques sur le réseau sans passer à la mise en œuvre complète. Grâce au mode simulation d'Illumio, les équipes de sécurité peuvent s'assurer que la mise en œuvre des politiques comporte moins de risques, moins d'erreurs de configuration et n'entraîne pas de pannes de réseau ou de problèmes de disponibilité.  

6. Appliquer

‍Aprèsavoir testé les politiques en mode simulation, il est temps de les appliquer pleinement. Suivez en temps réel les alertes relatives aux violations des politiques. Utilisez Illumio pour obtenir des alertes combinées à des données significatives et contextuelles et avoir une visibilité complète tout au long du cycle de vie de l'application.

7. Contrôler et maintenir

‍Lemaintien de la sécurité de votre entreprise et de votre mise en œuvre nécessite un travail et des efforts constants. Rappelez-vous que l'architecture zéro confiance n'est pas une technologie, mais un cadre et un processus. Grâce à ce que vous avez appris, vous pouvez mettre en œuvre la segmentation zéro confiance avec chaque nouvelle application dans votre entreprise et trouver le flux de travail optimal au fil du temps tout en maintenant une approche "jamais de confiance, toujours de vérification".

8. Adopter l'automatisation et l'orchestration

La gestion des réseaux complexes et en constante évolution d'aujourd'hui exige des équipes de sécurité qu'elles adoptent l'automatisation et l'orchestration. Grâce à ces outils modernes, les équipes peuvent mieux maintenir un réseau stable, prévisible et fiable.  

Découvrez comment les clients d'Illumio construisent une architecture de confiance zéro. Lisez les témoignages de nos clients.

Une cybersécurité proactive et moderne commence par une architecture de confiance zéro.

Alors que les organisations font face à une complexité croissante et à des menaces de sécurité, adopter la confiance zéro n'est pas seulement un choix stratégique, mais une nécessité pour rester en tête. Une architecture de confiance zéro aide les organisations à adopter une position proactive en matière de cybersécurité, leur permettant de protéger leurs données et leur infrastructure dans un monde de plus en plus interconnecté et dynamique.

Apprenez-en plus sur Illumio ZTS dès aujourd'hui. Contactez-nous pour une consultation et une démonstration gratuites.  

Sujets connexes

No items found.

Articles connexes

Thèmes clés d'Infosecurity Europe 2023 : résilience du secteur de l'énergie et cybermenaces dans l'enseignement supérieur
Cyber Resilience

Thèmes clés d'Infosecurity Europe 2023 : résilience du secteur de l'énergie et cybermenaces dans l'enseignement supérieur

Pour en savoir plus sur la couverture médiatique d'Illumio en juin 2023, axée sur l'endiguement des brèches en tant que voie d'avenir éprouvée en matière de cybersécurité.

Read more
Nos articles préférés de juillet 2023 sur la confiance zéro
Cyber Resilience

Nos articles préférés de juillet 2023 sur la confiance zéro

Voici quelques-uns des meilleurs articles sur la confiance zéro et des réflexions plus générales sur la cybersécurité du mois dernier.

Read more
Les raisons de l'échec de la sécurité traditionnelle de l'informatique dématérialisée - et 5 stratégies pour y remédier
Cyber Resilience

Les raisons de l'échec de la sécurité traditionnelle de l'informatique dématérialisée - et 5 stratégies pour y remédier

Découvrez pourquoi les outils de sécurité traditionnels ne peuvent pas fournir la sécurité flexible et cohérente nécessaire dans l'informatique dématérialisée et cinq stratégies pour mettre en place une sécurité moderne dans l'informatique dématérialisée.

Read more
Pourquoi il n'y a pas de confiance zéro sans microsegmentation ?
Segmentation sans confiance

Pourquoi il n'y a pas de confiance zéro sans microsegmentation ?

Le créateur de Zero Trust, John Kindervag, vous explique pourquoi la microsegmentation est essentielle à votre projet Zero Trust.

Read more
Obtenez 5 idées sur la confiance zéro de la part d'Ann Johnson de Microsoft
Cyber Resilience

Obtenez 5 idées sur la confiance zéro de la part d'Ann Johnson de Microsoft

Écoutez Ann Johnson, vice-présidente de Microsoft Security Business Development, sur la cyber-résilience, l'IA et le point de départ de la confiance zéro.

Read more
10 raisons de choisir Illumio pour la segmentation
Segmentation sans confiance

10 raisons de choisir Illumio pour la segmentation

Découvrez comment Illumio rend la segmentation plus intelligente, plus simple et plus solide dans le cadre de votre stratégie de sécurité Zero Trust.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more