Nos articles préférés sur la confiance zéro d'août 2023

Nous sommes de retour avec un nouveau tour d'horizon de l'actualité de Zero Trust !  

La confiance zéro reste une priorité pour les spécialistes de la sécurité et les chefs d'entreprise. Il s'agissait d'un point central de la conférence Black Hat USA de cette année. Par ailleurs, à mesure que les réglementations et les cadres fédéraux en matière de cybersécurité (comme le plan de mise en œuvre de la stratégie nationale de cybersécurité de la Maison Blanche) sont déployés et mis à jour, les principes de la confiance zéro - assumer la violation et le moindre privilège - restent en tête des préoccupations.

Voici quelques-unes des histoires et des perspectives de Zero Trust qui ont retenu notre attention ce mois-ci.

Les groupes de défense de la technologie veulent un cadre de confiance zéro pour protéger le public de l'IA (CyberScoop, Tonya Riley)

Face à l'intérêt croissant pour l'intelligence artificielle et à son adoption, un groupe de groupes technologiques d'intérêt public s'oppose à une "approche de plus en plus autoréglementée" de l'intelligence artificielle. Au lieu de cela, ils appellent à une "approche de confiance zéro pour la gouvernance de l'IA". Le groupe estime qu'il faut une réglementation et une surveillance plus strictes de l'IA, car la technologie continue de prendre forme sur le marché.  

Tonya Riley, de CyberScoop, explique : "Le cadre [proposé] n'est que le dernier effort de la société civile pour amener la Maison Blanche à adopter une approche plus ferme en matière de réglementation de l'IA, alors que l'administration travaille sur un décret anticipé sur l'IA."  

Pour en savoir plus sur le décret très attendu sur l'IA, cliquez ici.  

L'IA a également été au cœur des événements Black Hat et DEF CON de cette année, ce dernier ayant accueilli un "village de l'IA" où des milliers de pirates éthiques ont participé à divers exercices de red-teaming visant à découvrir des vulnérabilités dans les modèles d'IA les plus récents.  

Vous pouvez en savoir plus sur les principales conclusions d'Illumio à l'issue de Black Hat 2023 dans cet article de blog.  

Concevoir pour la sécurité : 10 priorités en matière de cybersécurité pour un centre de données Zero Trust (VentureBeat, Louis Columbus)

Selon une nouvelle étude, Louis Columbus, de VentureBeat, explique que les vecteurs de menace les plus vulnérables pour les centres de données "comprennent les portails d'assistance à la clientèle, de service à la clientèle et de gestion des tickets fonctionnant sur les serveurs des centres de données".  

Si une brèche n'est pas rapidement découverte ou corrigée, les attaquants peuvent dérober des milliers (voire des millions) d'enregistrements confidentiels de clients et voler les informations commerciales les plus précieuses d'une entreprise.

La clé du renforcement de la cyber-résilience dans le centre de données, explique Louis, est de commencer par une confiance zéro : Ou "la conviction que le centre de données a déjà été violé, et que tout dommage supplémentaire doit être contenu et stoppé immédiatement".

Il ajoute que "les attaquants perfectionnent sans cesse leur art pour trouver et exploiter les failles dans les architectures de sécurité des centres de données et les piles technologiques". Ces lacunes apparaissent souvent lorsque des plates-formes de sécurité de longue date sur site sont étendues à l'informatique dématérialisée sans les configurations correctes, ce qui rend les systèmes vulnérables à des violations".

Pour les organisations qui cherchent à renforcer leur posture de sécurité avec une solide architecture Zero Trust, Louis partage que le NIST recommande de donner la priorité à la microsegmentation, également appelée Zero Trust Segmentation, de fournisseurs comme Illumio, avec d'autres solutions de gouvernance basée sur l'identité, d'authentification, et de gestion de la sécurité du réseau et des points d'extrémité.  

Découvrez pourquoi 60% des entreprises qui visent la confiance zéro utiliseront plus d'une forme de microsegmentation d'ici 2026, selon l'étude de Gartner.  

Une meilleure définition de la confiance zéro (LinkedIn, Don Yeske)

J'ai beaucoup apprécié cet article du directeur de la sécurité nationale du ministère de la sécurité intérieure (DHS) publié sur LinkedIn. Il y plaide pour une définition plus cohérente et plus accessible de la confiance zéro - une définition que les dirigeants de tous les départements et de toutes les tailles puissent apprécier et traduire en actions.  

Il affirme que les mandats de confiance zéro ne sont pas seulement un cri de ralliement pour les praticiens de la cybersécurité, mais un impératif pour tous les dirigeants d'entreprises et d'organisations aujourd'hui.  

Il explique : "La réussite dépend d'une vision commune que tout le monde comprendra et approuvera, et pour laquelle tout le monde est prêt à travailler et à faire des sacrifices. La confiance zéro sera en concurrence avec d'autres transformations, en termes de temps, d'argent et d'attention. Ce ne sont pas les professionnels de la cybersécurité qui détermineront en fin de compte le résultat de cette transformation pluriannuelle. Ce sont les dirigeants de toutes les disciplines, à tous les niveaux, dans toutes les organisations, qui doivent s'unir pour atteindre cet objectif commun".

En bref, il propose ce titre comme nouveau slogan pour Zero Trust : "La confiance zéro est un changement dans notre approche de la cybersécurité : De la sécurité centrée sur le réseau à la sécurité centrée sur les données".

Pour plus d'informations sur la confiance zéro au niveau fédéral, consultez cet épisode de The Segment d'Illumio : Un podcast sur le leadership en matière de confiance zéro.  

C'est tout pour ce mois-ci. Nous reviendrons bientôt avec d'autres histoires de Zero Trust !