Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Ce que les définitions de la confiance zéro ne font pas - et comment y remédier

David Lenrow
Responsable technique, Exploration technologique
Illumio Editorial
Mars 20, 2023
23 min. lire

Il y a quelques années, j'ai eu une voiture qui portait un badge représentant ce qu'il y a de pire en matière de marketing trompeur. Le logo argenté en trois dimensions indique l'acronyme PZEV, qui signifie "Partial Zero Emissions Vehicle" (véhicule à émission partielle nulle).

Si votre première réaction est de penser que cela est contradictoire, c'est que vous avez un bon instinct. Dans ce cas, la description est étonnamment précise.

Le problème, c'est que cette fonction annoncée n'a pratiquement aucune valeur. Ce terme trompeur et ce badge bien en vue décrivent précisément un véhicule dont l'unique source de propulsion est un moteur à combustion interne polluant, mais qui n'émet aucun polluant lorsque LE MOTEUR EST ÉTEINT.

Un badge plus honnête serait PGG pour indiquer qu'ils utilisaient des joints Pretty Good Gaskets dans le système d'alimentation en carburant pour empêcher les émissions dues à l'évaporation de l'essence. Toutefois, le problème fondamental est que le zéro partiel n'existe pas et qu'il s'agit d'un oxymore.

Je n'aime pas faire l'hérétique, mais je ne peux m'empêcher de remarquer que le zéro est bien défini :

0,1 n'est pas zéro.

Ni l'un ni l'autre n'est 0,0001.

Même 0,0000000000000000000000000001 n'est pas nul.

Confiance zéro et principe du moindre privilège

Passons maintenant des voitures et de l'arithmétique de base à la sécurité des réseaux informatiques.

L'un des principes clés de la sécurité des réseaux à confiance zéro (et non pas un "locataire") est qu'ils doivent mettre en œuvre le principe du moindre privilège, ce qui inclut dans sa définition qu'il ne doit y avoir aucun excès de privilège. Le moindre privilège, ou le privilège minimum absolu requis pour qu'une transaction fonctionne correctement, n'est pas la même chose que le moindre privilège, qui est nécessaire et louable mais ne suffit pas à établir une confiance zéro.

Un exemple simple de ces problèmes est celui d'une ressource réseau qui expose une page web sur le port 80 de l'adresse IP w.x.y.z. Bloquer l'accès à tous les ports autres que le port 80 est un grand pas dans la bonne direction. Cependant, cela permet à n'importe quelle adresse client d'accéder à ce port alors que seuls certains utilisateurs doivent y être autorisés. Il s'agit d'un privilège excessif qui peut être éliminé en n'autorisant que certaines adresses IP source du client.

Mais cela conduit à un scénario dans lequel les utilisateurs autorisés peuvent essayer d'accéder à toutes les ressources exposées sur le port 80 et peuvent le faire à la fois pour des opérations GET qui font partie du cas d'utilisation prévu et, par exemple, des opérations PUT, qui n'en font pas partie. Restreindre davantage l'accès pour empêcher les opérations PUT et n'autoriser que les opérations GET pour une seule ressource web spécifique sont les dernières restrictions qui nous amènent au privilège de travail minimum (MWP), le privilège le moins élevé requis pour mettre en œuvre le cas d'utilisation prévu.

Le MWP est la configuration de moindre privilège obtenue pour un cas d'utilisation donné. Chacune des restrictions comportementales décrites ci-dessus réduit la surface d'attaque et permet de se rapprocher du MWP, mais ce n'est que lorsque le dernier privilège excédentaire est supprimé que l'on peut parler d'une mise en œuvre de la confiance zéro.

La confiance zéro n'est pas un voyage, mais le travail pour y parvenir l'est.

Cela nous amène à l'affirmation commune selon laquelle la confiance zéro est un "voyage", ce qui semble impliquer un état absurde de confiance zéro partielle. Il est courant d'entendre parler de "niveaux" de confiance zéro, comme s'il existait un spectre de postures de sécurité de confiance zéro que l'on peut parcourir.

La confiance zéro n'est pas un voyage, c'est la destination.

Lorsque les gens évoquent le "voyage" de la confiance zéro, ce qu'ils veulent dire en réalité, c'est que le travail pour atteindre la confiance zéro est un voyage. Les étapes vers cette destination sont utiles et importantes, mais elles doivent être différenciées de l'objectif final, à savoir la confiance zéro.

Il est vrai que l'exagération et les termes vagues font partie de tout secteur, mais dans certains cas, ils vont trop loin et induisent en erreur d'une manière qui peut causer des dommages à long terme, en particulier dans le domaine de la cybersécurité. Le grand risque en matière de sécurité est d'établir une relation avec un fournisseur ou une solution qui peut vous rapprocher de la confiance zéro, mais qui n'a pas de plan ou de capacité pour vous emmener jusqu'à la destination.

Il est impossible d'avoir un zéro partiel dans quoi que ce soit.

La confiance zéro est une question de liberté et de sécurité. Si les applications consomment des services de réseau qui mettent en œuvre la confiance zéro, elles n'ont pas besoin d'inclure une logique complexe et fragile pour se défendre contre les mauvais acteurs. Leur plateforme d'infrastructure "Zero Trust" a garanti l'élimination de ces risques.

Confiance zéro : La surface d'attaque minimale possible

Par exemple, lorsque vous vous trouvez dans un palais de justice américain, vous pouvez être assuré de votre sécurité parce qu'il y a une seule entrée avec un magnétomètre qui scanne chaque personne qui entre, garantissant que personne n'a apporté quelque chose de malveillant à l'intérieur (confiance zéro). S'il existe une autre entrée dépourvue de telles mesures de sécurité (surface d'attaque réduite), la garantie d'absence de menace ne peut être soutenue et tout le monde doit se préoccuper de sa sécurité. Dans ce scénario de deux entrées, le fait que la plupart des personnes (celles qui n'ont rien de malveillant) passent par l'interface sécurisée ne signifie pas qu'il n'y a pas de sécurité.

La différence entre une surface d'attaque réduite et la confiance zéro (surface d'attaque minimale possible) est qu'elle permet de ne pas se soucier de l'autodéfense. Seule une véritable confiance zéro peut permettre aux développeurs d'applications d'exclure les capacités défensives de leurs applications, réduisant ainsi les coûts, la complexité et les délais de mise sur le marché.

De nombreux fournisseurs vous vendront une solution qui vous rendra plus sûr que vous ne l'êtes actuellement, ce qui n'est pas sans valeur. Mais il est important de comprendre comment vous devez vous rendre à la destination Zero Trust et de savoir s'ils peuvent vous y emmener.

Nous pouvons considérer la confiance zéro comme une posture de sécurité qui est la meilleure possible, étant donné que nous devons permettre une certaine interaction avec le réseau pour fournir les avantages du service. Il est possible d'atteindre cette définition de la confiance zéro à partir de certaines solutions de sécurité disponibles aujourd'hui.

Pour certaines applications et certains services basés sur le réseau, le coût du déploiement de ces solutions sera beaucoup moins élevé que le coût du déploiement sans ces solutions, c'est-à-dire le coût d'une violation. Un bon point de départ pour cette analyse est de comprendre quel est le privilège de travail minimum pour vos applications.

Les propriétaires d'applications devront comprendre les exigences de sécurité pour leur application afin de déterminer comment Zero Trust est rentable en termes commerciaux globaux. Mais à mesure que l'environnement de la cybersécurité évolue et devient plus sophistiqué, les organisations se rendront compte qu'elles ne peuvent pas se permettre de ne pas utiliser la confiance zéro, car il ne suffit pas de mettre en œuvre moins de confiance.

La segmentation zéro confiance d'Illumio vous aide à atteindre la confiance zéro.

Bien que la confiance zéro soit une stratégie de sécurité - et non un produit ou une solution spécifique - Forrester valide la segmentation de confiance zéro (ZTS), également appelée microsegmentation, comme un pilier fondamental et stratégique de toute architecture de confiance zéro. Le ZTS ne promet pas de vous aider à atteindre une confiance zéro totale, mais il s'agit d'une technologie essentielle pour la confiance zéro.

ZTS part du principe que les brèches sont inévitables et s'y prépare en segmentant le réseau et en établissant un accès au moindre privilège. Lorsque des brèches se produisent, ZTS aide à contenir leur propagation en stoppant les mouvements latéraux à travers le réseau.

La plateforme ZTS d'Illumio est la première plateforme de l'industrie à contenir les brèches dans la surface d'attaque hybride.

Avec Illumio ZTS, vous pouvez :

  • Voyez les risques : Visualisez en permanence la façon dont les charges de travail et les appareils communiquent.
  • Définir une politique : Définissez des politiques granulaires qui n'autorisent que les communications souhaitées et nécessaires.
  • Stoppez la propagation des brèches : Isolez automatiquement les brèches en limitant les mouvements latéraux de manière proactive ou lors d'une attaque active.

Qu'est-ce que le ZTS ? Plus d'informations ici.

Contactez-nous dès aujourd'hui si vous souhaitez en savoir plus sur le ZTS et sur la manière dont il s'intègre dans votre stratégie de confiance zéro.

Sujets connexes

No items found.

Articles connexes

Comment West Bend Mutual Insurance a surmonté les défis de la migration vers l'informatique en nuage avec Illumio
Segmentation sans confiance

Comment West Bend Mutual Insurance a surmonté les défis de la migration vers l'informatique en nuage avec Illumio

Hébergé en mode SaaS, compatible avec de nombreux systèmes d'exploitation et moins complexe que d'autres solutions similaires, voici comment Illumio est la solution de cybersécurité de West Bend.

Read more
Rencontrez Illumio à Las Vegas au salon Black Hat USA 2025
Segmentation sans confiance

Rencontrez Illumio à Las Vegas au salon Black Hat USA 2025

Rejoignez Illumio à Black Hat USA 2025 à Las Vegas au stand 5445 pour des démonstrations en direct, des sessions en cabine et des informations exclusives sur l'endiguement des brèches et la sécurité cloud pilotée par l'IA.

Read more
L'importance de la politique pour la confiance zéro
Segmentation sans confiance

L'importance de la politique pour la confiance zéro

L'idée du moindre privilège n'est pas nouvelle, pas plus que l'idée de séparer les appareils sur le réseau au service du moindre privilège.

Read more
Rapport sur l'impact de la confiance zéro : 3 conclusions pour les responsables de la sécurité
Segmentation sans confiance

Rapport sur l'impact de la confiance zéro : 3 conclusions pour les responsables de la sécurité

Les recherches de l'Enterprise Strategy Group (ESG) révèlent des tendances et des approches positives en ce qui concerne les initiatives "Zero Trust".

Read more
La segmentation zéro confiance pour les nuls : Un guide simple pour stopper la propagation des brèches
Segmentation sans confiance

La segmentation zéro confiance pour les nuls : Un guide simple pour stopper la propagation des brèches

Obtenez votre exemplaire gratuit de Zero Trust Segmentation for Dummies, un guide simple pour stopper la propagation des ransomwares et des brèches.

Read more
Qu'est-ce que le principe du moindre privilège ?
Segmentation sans confiance

Qu'est-ce que le principe du moindre privilège ?

Le principe du moindre privilège (PoLP) permet à l'utilisateur d'effectuer son travail ou les fonctions requises et rien d'autre.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more