Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Comment mettre en œuvre un modèle de sécurité "zéro confiance" dans un paysage largement ouvert ?

Illumio Editorial
Illumio Editorial
Mars 18, 2022
23 min. lire

Il n'y a pas si longtemps, la sécurité impliquait un stockage sur site avec des périmètres surveillés. Les organisations pouvaient être sûres de la solidité de leur protection, car elles savaient où se trouvaient les données sensibles et le nombre limité de personnes autorisées à y accéder physiquement.

Ce n'est tout simplement pas le monde numérique dans lequel nous vivons aujourd'hui. Les périmètres fortifiés ont été remplacés par des environnements distants et une prolifération d'appareils mobiles. Les données des entreprises sont aujourd'hui réparties dans des espaces de stockage virtualisés hébergés sur des serveurs répartis dans le monde entier. Bien que cela offre une grande flexibilité et une grande évolutivité aux entreprises, cela élargit également la surface d'attaque pour les acteurs malveillants qui cherchent à exploiter les failles de sécurité.

En réponse à ce défi, les professionnels de la sécurité entrent dans une nouvelle ère, celle de la sécurité zéro confiance. Dans sa forme la plus élémentaire, une approche de confiance zéro exige la vérification de chaque demande d'accès entre toutes les ressources, quels qu'en soient l'auteur, le contenu et le lieu. Fondamentalement, la confiance zéro est un état d'esprit et une stratégie de sécurité, dont la mise en œuvre complète peut s'avérer difficile.

Dans ce billet, nous discuterons de l'origine de la méthodologie Zero Trust et expliquerons comment les organisations peuvent mettre en œuvre la sécurité Zero Trust dans un paysage de plus en plus éloigné et sans périmètre, où l'informatique dématérialisée occupe une place prépondérante.

Une brève histoire de la confiance zéro

Le terme "confiance zéro" a été abordé pour la première fois dans les années 1990 dans une thèse de doctorat sur la sécurité informatique, bien qu'il n'ait pas été utilisé dans son sens actuel. Le concept a pris de l'ampleur vers 2010 après une discussion de Forrester Research sur les principes de ce qui deviendrait la base du paradigme.

Forrester a reconnu que l'idée d'un périmètre de confiance dans les organisations est risquée. Non seulement les informations d'identification pourraient être compromises, mais il n'est pas fait mention de la prévention des menaces internes. Par conséquent, tout le trafic réseau doit être considéré comme non fiable jusqu'à preuve du contraire.

Quelques années plus tard, notre main-d'œuvre de plus en plus mobile (et aujourd'hui de plus en plus éloignée) redéfinit même l'idée de base d'un périmètre. Cette évolution, combinée à l'essor des solutions en nuage, nécessite un nouveau changement par rapport à l'authentification basée sur les informations d'identification. Outre l'accent mis sur les personnes, nous devons maintenant étendre le cadre de la confiance zéro pour nous concentrer sur les données. Cela signifie que les outils de sécurité de la prochaine génération doivent tenir compte de l'activité du réseau, de l'accès et des privilèges des utilisateurs, ainsi que de l'accès et de l'utilisation des données.

La confiance zéro ne se limite plus à demander qui est l'utilisateur. Chaque tentative de connexion doit demander un contexte, par exemple :

  • L'appareil est-il utilisé comme un appareil connu ?
  • La connexion provient-elle d'un lieu ou d'un réseau connu ?
  • À quelles données ou applications tentent-ils d'accéder ?

Bien sûr, exiger et vérifier tout ce contexte peut être plus facile à dire qu'à faire dans notre paysage de plus en plus ouvert. Les professionnels de la sécurité doivent se préparer aux nouvelles tendances dans un paysage numérique de plus en plus ouvert. Nous irons plus loin et verrons comment adopter un paradigme de confiance zéro dans un environnement de sécurité moderne.

Mise en œuvre de la confiance zéro dans un environnement sans frontières

La nature de la prolifération des données et du travail à distance rend aujourd'hui presque impossible l'application de périmètres de sécurité comme nous le faisions autrefois. Examinons donc quelques mesures concrètes pour transformer cette stratégie en résultats et en un paradigme de sécurité axé sur la technologie.

Définir la surface de protection

La première étape de la sécurisation de l'environnement de votre organisation consiste à définir cet environnement. En fait, vous essayez d'ériger une frontière là où il n'y en a pas. Cette approche nécessite une vision globale du réseau et de l'environnement, y compris de tous les utilisateurs, appareils, privilèges et trafic.

C'est particulièrement difficile si vous utilisez des services basés sur le cloud ou si vos serveurs sont hébergés en commun. Selon l'expert Alex Williams de Hosting Data, chaque fois que des ressources sont partagées, la sécurité peut en pâtir. "La nature communautaire du serveur peut permettre aux virus de se propager à travers le site du serveur et d'infecter les personnes qui y sont liées", explique Williams. "Vous n'avez aucun moyen de personnaliser votre sécurité. Vous comptez essentiellement sur votre équipe d'hébergement pour vous protéger".

Quelle que soit votre configuration, notre surface d'attaque moderne ne cesse de s'étendre. Il existe plusieurs façons de définir une surface d'attaqueMais avec la confiance zéro, nous l'abordons spécifiquement en termes de ce qui doit être protégé.

Cela permet de se concentrer sur ce qui a le plus de valeur pour l'entreprise. Une surface de protection "" comprend

  • Données (telles que les informations personnelles identifiables ou les informations relatives aux cartes de paiement)
  • Applications (celles qui sont utilisées pour accéder aux données, comme la gestion de la relation client ou le processus de paiement)
  • Actifs (serveurs ou équipements qui traitent les données, tels que les terminaux de point de vente)
  • Services (services critiques utilisés pour accéder aux données, tels que DNS ou Active Directory)

La définition d'une surface protégée englobe la gestion des données et des actifs en plus de la gestion traditionnelle des accès associée à l'authentification des utilisateurs.

Projet de politique de confiance zéro

Une fois que vous avez défini la surface de protection, vous devez utiliser ces informations pour formaliser la politique de l'organisation. La confiance zéro exige de se demander qui a accès, à quoi, quand et d'où. Chaque fois qu'une demande d'accès est faite à une ressource particulière, un certain nombre de questions doivent être posées :

  • Qui doit y avoir accès ?
  • Quels sont les appareils auxquels l'accès est autorisé ?
  • Quand les utilisateurs peuvent-ils y avoir accès ?
  • Où les utilisateurs peuvent-ils avoir accès ?
  • À quoi la ressource peut-elle servir ?

Ces questions doivent être traduites en mesures concrètes, suffisamment spécifiques pour couvrir les besoins uniques des différents actifs ou services. Un modèle de contrôle d'accès basé sur les attributs (ABAC) sera utile pour élaborer des politiques ciblées sur les attributs des différents groupes de ressources.

Toutefois, ce n'est pas parce que vous avez des politiques différentes pour différents types de services qu'il ne s'agit pas d'une politique à l'échelle de l'entreprise. Si vous êtes novice en la matière, vous devriez envisager de consulter un expert pour vous aider à formuler votre stratégie en matière de politique de confiance zéro.

Former le périmètre virtuel ""

Plusieurs outils et tactiques peuvent être utilisés pour renforcer le périmètre virtuel. Dans un paysage ouvert, l'accent doit être mis sur la cartographie des flux de réseau et sur l'amélioration de la visibilité des ressources natives du nuage.

Il se peut que vous disposiez d'un environnement hybride avec des ressources virtuelles et sur site. Vous devrez également faire la différence entre les logiciels internes et les logiciels tiers. Le modèle ABAC permettra de consolider les règles afin d'offrir une visibilité plus complète. En outre, vous devrez segmenter vos services pour mettre en œuvre la confiance zéro.

Un outil de micro-segmentation qui offre un contrôle granulaire de votre source protégée contribuera à réduire la gravité d'une attaque en cas de violation. La segmentation est particulièrement critique lorsque vous utilisez des microservices basés sur le cloud - sans mettre en place des murs virtuels, un attaquant pourrait se déplacer latéralement dans votre système avec un seul ensemble d'informations d'identification volées. Le bon outil vous donnera également une visibilité en temps réel des comportements du système, ce qui vous aidera à appliquer vos politiques.

Contrôler et tester de manière cohérente

Même lorsque vous êtes sûr de vos politiques et de leur mise en œuvre, vous ne devez jamais cesser de tester les vulnérabilités de votre système. Testez vos politiques prédéfinies pour vous assurer qu'elles détectent les activités suspectes et qu'elles peuvent être utilisées pour mettre en œuvre des mesures d'urgence en cas de menace. Il peut également être utile de procéder périodiquement à des tests contradictoires, en interne ou en sous-traitance, afin de cartographier les vulnérabilités et d'éviter de se reposer sur ses lauriers.

Sensibilisez vos équipes

Enfin, pour faire progresser le paradigme de la confiance zéro dans l'ensemble de votre organisation, vous devez recourir à une formation ciblée pour obtenir l'adhésion de tous. Il est important que chacun, du service informatique à la direction, sache pourquoi les changements de politique sont mis en œuvre et quel en sera l'impact.

Par exemple, vous voudrez former les employés à la manière dont la gestion des accès et l'authentification multifactorielle modifieront leurs processus de connexion et pourquoi cela est important pour l'entreprise, les employés et les clients.

Conclusion

Le monde numérique est en constante évolution et les professionnels de la sécurité doivent s'adapter à ces changements. L'époque des appareils verrouillés sur site est révolue, remplacée par le cloud hybride, l' informatique en périphérie et l'internet des objets.

Zero Trust aide les entreprises à se montrer à la hauteur de la situation grâce à une sécurité multicouche centrée sur les données. Et si elle est mise en œuvre correctement, il n'y a aucune raison pour que la sécurité soit ressentie comme un inconvénient. Il peut plutôt s'agir d'un changement de priorité à l'échelle de l'organisation qui encourage la responsabilité et une cyberhygiène saine.

Découvrez comment Illumio, pionnier et leader de la segmentation sans confiance, peut vous aider :

Sujets connexes

No items found.

Articles connexes

9 raisons pour lesquelles les fabricants devraient mettre en œuvre la segmentation zéro confiance
Segmentation sans confiance

9 raisons pour lesquelles les fabricants devraient mettre en œuvre la segmentation zéro confiance

Découvrez comment Illumio peut aider les fabricants à utiliser la segmentation zéro confiance pour protéger les opérations contre la menace des ransomwares et des brèches.

Read more
RSAC 2024 : 3 conversations que vous avez peut-être manquées
Segmentation sans confiance

RSAC 2024 : 3 conversations que vous avez peut-être manquées

Récapitulez les trois sujets les plus fréquemment abordés au RSAC cette année.

Read more
Ce que les opérateurs du secteur de l'énergie peuvent apprendre de la plus grande attaque jamais perpétrée contre une infrastructure critique au Danemark
Segmentation sans confiance

Ce que les opérateurs du secteur de l'énergie peuvent apprendre de la plus grande attaque jamais perpétrée contre une infrastructure critique au Danemark

Voici ce que nous savons de cette attaque et comment les opérateurs du secteur de l'énergie peuvent se préparer de manière proactive à des violations similaires grâce à la segmentation zéro confiance.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more