e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message



Accédez au menu
Contactez-nous

Le concept du Zero Trust pour la mobilité

Retour aux articles

Le concept du Zero Trust pour la mobilité


Catégorie : Articles

Date de publication : 9 janvier 2020 - Dernière mise à jour : 9 janvier 2020

Rédacteur : Bruno De Sousa


Ce n’est plus une surprise pour personne, le domaine de l’entreprise a connu ces dernières années des changements profonds sur la manière dont les ressources sont consommées ou accédées.

La transformation digitale, en cours dans toutes les entreprises, est venue favoriser de nouvelles tendances telles que l’utilisation de services cloud et la pratique du télétravail.

Les employés accèdent maintenant aux données ou applications de l’entreprise peu importe où qu’elles soient stockées ou hébergées et ce, depuis n’importe quel emplacement ou périphérique. Mobile ou ordinateur, qu’ils soient personnels ou professionnels, dans l’entreprise ou en déplacement, services cloud, serveurs dans le réseau LAN de l’entreprise, l’utilisateur souhaite un accès immédiat et fluide à toutes les ressources sans se soucier des impacts que cela peut avoir sur le niveau de sécurité de l’entreprise ou les contraintes qui en découlent sur l’infrastructure qui les héberge.

Ces nouvelles tendances s’intègrent difficilement dans un modèle de sécurité classique périmétrique comme nous l’avons connu jusqu’ici et cela complexifie donc la gestion de la sécurité pour l’entreprise. Par conséquent, c’est tout l’environnement autour de la mobilité des utilisateurs et des données qui s’en trouve impacté et doit être repensé.

La confiance n'exclut pas le contrôle

Le terme Zero Trust a été introduit par un analyste de la société Forrester Research. Il ne s’agit pas d’une approche complètement nouvelle en soi, puisqu’elle ne fait que mettre ensemble des principes de sécurité déjà existants dans la plupart des entreprises. Mis bout à bout, ils permettent néanmoins de répondre aux problématiques inhérentes à la transformation digitale.

Le concept repose sur le fait qu’il ne faut faire confiance à personne. « never trust, always verify », et s’articule autour des principes suivants :

Tout réseau est potentiellement corrompu,
Les menaces peuvent venir de l’interne comme de l’externe,
Aucun accès n’est « trusté » par défaut,
Chaque périphérique, utilisateur ou flux réseau doit être authentifié et autorisé,
La politique de sécurité doit être dynamiques afin de s’adapter à l’environnement d’accès,
Seules les permissions strictement nécessaires sont octroyées,
Il n’est plus question de surface d’attaque, mais de surface à protéger, propre à chaque entreprise et contenant les données, applications et services les plus critiques pour l’entreprise,
Tout accès est conditionnel.

L’entreprise doit, par conséquent, adapter ses politiques de sécurité autour des technologies ci-dessous (liste non-exhaustive) :

Mettre en place une stratégie de microsegmentation (ou micropérimètre) sur les différents réseaux de l’entreprise (cloud, firewalls, virtualization, etc) afin d’isoler au maximum les ressources critiques et éviter les mouvements latéraux,
Activation d’une authentification de type multi-facteur (MFA), si possible de type « passwordless », afin d’authentifier fortement l’utilisateur ou le périphérique d’accès,
Maîtriser l’ensemble des périphériques autorisés à se connecter aux ressources de l’entreprise (Mobile Device Management),
Sécuriser le transport des données via des canaux sécurisés et maîtrisés par l’entreprise,
Isoler les applications sensibles ou contenant des données de l’entreprise, sur les terminaux,
Uniformisation des solutions antimalware sur l’ensemble des périphériques d’accès, y compris les mobiles ainsi que sur les équipements de transit à l’aide de solutions de « threat prevention » en couche OSI 7,
Contrôle granulaire des données transitant et consultées par les utilisateurs (DLP),
Niveau de risque d’un utilisateur donné (UEBA).

Au final, il devient évident que la mise en place de ces technologies et le côté dynamique des politiques de sécurité qui leur seront appliquées, attribue une grande importance à l’environnement des utilisateurs et les terminaux utilisés. Celui-ci a donc un impact direct sur les permissions et droits d’accès aux applications et aux données. Il en est de même pour la nature de la donnée.

Cela fait de Zero Trust un modèle de sécurité basé sur des processus stricts et répondant à toutes ou partie des questions « qui, quoi, quand, où, pourquoi et comment ? ». Il apparaît, aujourd’hui, comme l’approche la plus efficace afin de faire face aux menaces en constante évolution sur les environnements hétérogènes et de plus en plus mobiles.

Abonnez-vous
à nos newsletters