La confiance zéro n'est pas difficile... si vous êtes pragmatique

Il y a quelques semaines, Rob Lemos, de Dark Reading, a expliqué pourquoi, malgré les avantages évidents en matière de sécurité, les organisations et leurs spécialistes de la sécurité hésitent à mettre en œuvre un modèle de confiance zéro. La préoccupation principale est que les environnements "brownfield" ont trop de dettes techniques à surmonter pour atteindre le statut "Zero Trust", et qu'ils ne peuvent donc être appliqués qu'à de nouveaux environnements nets (ce que nous appelons souvent "greenfield", généralement dans le cadre d'une migration vers le nuage). En outre, les organisations partent du principe que les avantages ne peuvent être réalisés qu'une fois que tout a été "zéro confiance" (si un tel état existe) - qu'il n'existe pas d'état intermédiaire sur la voie de la confiance zéro qui soit à la fois bénéfique et réalisable. 

Ce sont des mythes qu'il faut détruire.

Le cadre Zero Trust de Forrester s'étend sur sept piliers qui, une fois combinés, constituent une stratégie complète de sécurisation de l'entreprise.

Pour qu'une organisation puisse considérer qu'elle a atteint un niveau de confiance zéro complet, elle doit

1. Mettre en œuvre le principe du moindre privilège pour l'ensemble des charges de travail, des réseaux, des personnes, des appareils et des données. 
2. Veillez à ce que ces contrôles soient entièrement pilotés et maintenus grâce à l'automatisation.
3. La visibilité ne doit pas être considérée comme un sous-produit, mais comme un outil permettant de réaliser les points 1 et 2. Surveiller en permanence, en alimentant l'automatisation pour garantir le maintien de l'intégrité de l'état de confiance zéro. 

Cela semble être une tâche considérable - il n'est pas étonnant que certaines entreprises choisissent de reporter la mise en pratique. Et ce, avant même de commencer à passer au crible les offres technologiques qui prétendent offrir une "confiance zéro" complète en un seul produit - elles sont comme les nombreux remèdes maison douteux au COVID-19 qui font actuellement le tour des médias sociaux. 

Mais que se passerait-il si, au lieu d'adopter une approche en cascade pour mettre en place une sécurité zéro confiance dans nos environnements, nous adoptions une approche plus incrémentale et plus agile ? Pourrions-nous en tirer des avantages tout en restant dans cette (interminable ?) voyage ? Et pourrions-nous intégrer d'autres capacités au fur et à mesure que nous progressons ?

La réponse, sans surprise, est un "oui" retentissant à toutes ces questions. Alors, comment faire ? 

Voici ma recommandation. Cette approche (quelque peu simplifiée) permet à une organisation de prendre des mesures modestes et réalistes pour parvenir à un niveau de confiance zéro. 

1. Identifier ce qu'il faut protéger : Identifiez les données, l'application ou le processus d'entreprise que vous souhaitez protéger au cours de cette phase. 
2. Déterminez le pilier de la confiance zéro sur lequel vous devez vous concentrer : Déterminez lequel des piliers de la confiance zéro vous allez mettre en place des contrôles. Illumio est une entreprise de segmentation - nous aidons les organisations à se concentrer principalement sur la visibilité, les charges de travail et les réseaux. 
3. Spécifiez le contrôle exact : Précisez maintenant le contrôle exact que vous essayez d'obtenir au cours de cette phase. Supposons que vous souhaitiez séparer du reste du réseau les charges de travail qui exécutent vos processus commerciaux critiques. Ainsi, le résultat de la confiance zéro que vous essayez d'obtenir est un accès à moindre privilège sur le réseau aux charges de travail qui exécutent ce processus critique. 
4. Prescrire les données nécessaires : Vous avez maintenant besoin des données et de la visibilité (dans le cas d'Illumio, nous fournissons une carte) pour élaborer la politique spécifique qui permettra d'atteindre le résultat - il s'agit de métadonnées pertinentes pour identifier les charges de travail et leurs dépendances associées, ainsi que des données sur le trafic qui détermineront la nature de ces dépendances.
5. Concevoir la politique : Armé de ces données, vous pouvez élaborer une politique de segmentation "zéro confiance" pour ce processus commercial particulier et la valider. Testez avant de mettre en œuvre - sinon, vous n'obtiendrez aucun remerciement. 
6. Validez, mettez en œuvre et surveillez : Une fois la politique mise en place, la surveillance du trafic et de l'altération nous permet de contrôler en permanence l'état de votre environnement et de réagir à tout changement, soit manuellement, soit par le biais de l'automatisation. 
7. Rincez et répétez les étapes 1 à 6. 
    

Chaque étape s'appuie sur ce qui a déjà été fait, améliorant continuellement l'état général de la sécurité, et permet même aux environnements en friche d'adopter et de bénéficier de la confiance zéro. 

Il est difficile d'atteindre la confiance zéro en une seule fois pour l'ensemble de votre environnement. Cela dit, il est possible de créer un MVP ZT et de procéder à des itérations afin de mettre en place une posture complète pour votre organisation, et nous sommes là pour vous aider.

Pour en savoir plus, consultez notre page sur l'opérationnalisation de votre stratégie de confiance zéro grâce à la micro-segmentation.