Discussion :

[Bruno]

Cinq raisons pour lesquelles votre organisation doit adopter une architecture de sécurité zéro confiance,
par Forrester Research

Aujourd’hui, de nombreuses entreprises ont leurs données accessibles depuis des appareils qu’elles ne contrôlent pas ou auxquels elles ne font pas confiance. Avec la hausse des services basés sur le cloud et l’augmentation de l’utilisation des appareils mobiles, les stratégies traditionnelles de sécurité, basées sur le périmètre du réseau, qui constituaient auparavant l’épine dorsale de la sécurité des entreprises, sont tout simplement devenues obsolètes.

Selon Forrester Research, plus de la moitié des entreprises aux États-Unis et en Europe ont déjà implémentés des programmes BYOD (apportez votre propre appareil) ou les développent. La majorité de ces appareils ne sont pas sous contrôle, et aucun ne fonctionne dans le cadre des périmètres du réseau d'entreprises. 28 % des incidents de violation selon le rapport d'enquête 2018 de Verizon sur les violations de données étaient perpétrés par des acteurs internes. Les défenses basées sur le périmètre ne peuvent rien contre ces types de menaces. Comme solution, Forrester avait défini et proposé le concept du réseau zéro confiance en 2010. En 2014, Google l'a mis en œuvre en tant qu'approche de sécurité de BeyondCorp. En 2017, Gartner l'a décrit comme une évaluation continue du risque et de la confiance (CARTA).

Le modèle d’accès zéro confiance est centré sur le principe selon lequel les organisations ne doivent faire confiance à aucun appareil à l’intérieur comme à l’extérieur de leur périmètre. Avec ce modèle, tout le trafic réseau est considéré comme non-fiable et toutes les données doivent être inspectées en permanence. Pour établir la confiance et obtenir un accès, les utilisateurs doivent prouver leur identité et valider le fait que leur appareil est exempt de cybermenaces. Un appareil qui a été compromis ne peut pas bénéficier de cette confiance et ne doit pas obtenir d’accès. L’objectif de l'adoption d'une architecture zéro confiance est de rendre la sécurité omniprésente dans tout l'écosystème numérique.

Pourquoi adopter l’architecture de sécurité zéro confiance ?

Gagner en visibilité et en analytique

Dans l’environnement numérique actuel, le besoin de monitoring semble être primordial. Il convient donc :

• d'inspecter et enregistrer en permanence tout le trafic, tant en interne qu'en externe, pour surveiller les activités malveillantes grâce aux fonctionnalités de protection en temps réel ;
• d'appliquez strictement les contrôles afin que les utilisateurs n'aient accès qu'aux ressources nécessaires pour effectuer leurs tâches ;
• d'authentifier les utilisateurs, surveiller et régler en permanence leurs accès et privilèges ;
• de sécurisez les utilisateurs lorsqu'ils interagissent avec Internet.

Éliminer la confiance

Les erreurs des employés restent la cause la plus courante de violations des données. Supposons que tout le trafic, quel que soit son emplacement, constitue un trafic menaçant jusqu'à ce qu'il soit vérifié, ce qui signifie qu'il doit être autorisé, inspecté et sécurisé.

Les pare-feux traditionnels ne peuvent plus apporter une pleine satisfaction

Les pare-feux traditionnels ne répondent plus à certaines normes et contraintes offrant une défense adéquate contre les menaces émergentes et de plus en plus sophistiquées. Lorsque vous implémentez une architecture zéro confiance, vous devez disposer de protections résilientes et superposées pour empêcher les attaquants qui ont échappé aux mécanismes de détection basés sur les points de terminaison d’avoir un accès libre aux ressources de votre ordinateur ou d’autres périphériques sur le réseau.

Le vol d'identité reste un grand énorme

l'année dernière, l’escalade des privilèges aurait été utilisée pour accéder aux ressources réseaux lors des actes de violations de données plus que toute autre méthode. Les défenses basées sur le périmètre sont totalement inefficaces contre ce type d'attaque. Une fois qu'un attaquant a accès à des informations d'identification privilégiées, il est libre de se déplacer latéralement sur le réseau, à moins que la surveillance du trafic ne soit en place et puisse alerter sur ces activités anormales.

Modèle solide pour des architectures de sécurité robustes et résilientes

L'adoption du modèle zéro confiance implique que vous devez changer la manière dont les parties prenantes de votre organisation voient les risques et les menaces liés à la sécurité des informations. Une implémentation de la protection en couche dans le réseau de votre infrastructure et l’utilisation de pare-feux de dernière génération réduiront considérablement les vulnérabilités dans votre infrastructure.

Alors que les investissements dans la cybersécurité continuent d’augmenter, les activités malveillantes ne montrent aucun signe de faiblesse. Les opérations cybercriminelles sont de plus en plus sophistiquées, ciblées et mieux financées. Si votre organisation est sérieuse dans sa politique de sécurité, le zéro confiance représente une voie à suivre. Bien que l’esprit et les modèles de sécurité zéro confiance soient assez simples à expliquer, l’implémentation de l’architecture de sécurité zéro confiance n'est pas une tâche facile.

Source : Comodo

Et vous ?

Que pensez-vous de l'architecture de sécurité zéro confiance ?

Pensez-vous que cela soit efficace pour combattre les menaces ?

Allez-vous mettre en place cette stratégie ?

Voir aussi :

Google tente une nouvelle approche à la sécurité de l'entreprise, avec son initiative BeyondCorp

Sécurité : près de 45 % des logiciels malveillants sont distribués via des macros Microsoft Office, selon des chercheurs de Cofense Intelligence

[Anselme45]

Pour établir la confiance et obtenir un accès, les utilisateurs doivent prouver leur identité et valider le fait que leur appareil est exempt de cybermenaces.

"l’architecture de sécurité zéro confiance"???

La théorie est parfaite comme toutes les théories tant qu'elles restent... théoriques! Mais quand il faut la mettre en pratique... C'est là que cela fait mal!

Il suffit donc de s'assurer que l'appareil est exempt de cybermenaces... Et comment on est sûr à 100% qu'il n'y a pas de cybermenace?

La réponse est simple: Tu as autant de chance de repérer une menace que le simple anti-virus installé par Mme Michu sur son PC familliale!

[eai@dev]

C'est simple pourtant, il suffit :

• d'inspecter et enregistrer en permanence tout le trafic, tant en interne qu'en externe, pour surveiller les activités malveillantes grâce aux fonctionnalités de protection en temps réel ;
• d'appliquez strictement les contrôles afin que les utilisateurs n'aient accès qu'aux ressources nécessaires pour effectuer leurs tâches ;
• d'authentifier les utilisateurs, surveiller et régler en permanence leurs accès et privilèges ;
• de sécurisez les utilisateurs lorsqu'ils interagissent avec Internet.

A se tordre de rire

[yahiko]

La sécurité, il en faut. Mais...
"Zéro confiance"...
Je plains les salariés de boîtes qui adoptent cette mentalité moisie pour resté poli.

Cependant, pour vendre derrière du consulting par wagons, c'est un bon concept.

[Doksuri]

j'ai une idee : on n'a qu'à faire un code de la route que les conducteurs n'auront qu'à respecter, comme ça hop. plus d'accidents

ah oui, j'oubliais... le facteur "humain"

[JCD_31]

Le client avec qui je travaille actuellement utilise des certificats périmés depuis 2013.
La semaine dernière, lors d'une réunion de conception, il nous a dit très sérieusement : "On nous a imposé d'utiliser spring-security pour ce projet. Bon, vous allez me forker ce truc et me l'alléger. De plus, je serai l'admin, inutile de faire la connexion AD pour mon compte, foutez moi ça dans une constante".
Et inutile de vous dire que ce client fait parti de notre cher gouvernement.

La sécurité, c'est un concept encore abstrait pour certains. A chaque fois que je vois un post sur la sécurité, j'ai tendance à ricaner tellement on est loin de la réalité.

[gangsoleil]

A chaque fois que je vois un post sur la sécurité, j'ai tendance à ricaner tellement on est loin de la réalité.

Il y aussi des gens qui travaillent pour que la sécurité avance, et soit de moins en moins un facteur risible -- mais il y a encore beaucoup de boulot.

Sinon, on est clairement ici face à de la vente de consulting :
"Regardez, on vous vend ce que Google a fait, c'est hype et bien, donnez-nous des sous pour qu'on vous le colle"

Mais il ne faut pas oublier que la sécurité doit absolument s'adapter aux besoins des entreprises et des utilisateurs, au risque sinon d'arriver au contraire de ce qui était voulu.