Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2019
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2019
    Messages : 135
    Points : 2 685
    Points
    2 685
    Par défaut Cinq raisons pour lesquelles votre organisation doit adopter une architecture de sécurité zéro confiance
    Cinq raisons pour lesquelles votre organisation doit adopter une architecture de sécurité zéro confiance,
    par Forrester Research

    Aujourd’hui, de nombreuses entreprises ont leurs données accessibles depuis des appareils qu’elles ne contrôlent pas ou auxquels elles ne font pas confiance. Avec la hausse des services basés sur le cloud et l’augmentation de l’utilisation des appareils mobiles, les stratégies traditionnelles de sécurité, basées sur le périmètre du réseau, qui constituaient auparavant l’épine dorsale de la sécurité des entreprises, sont tout simplement devenues obsolètes.

    Selon Forrester Research, plus de la moitié des entreprises aux États-Unis et en Europe ont déjà implémentés des programmes BYOD (apportez votre propre appareil) ou les développent. La majorité de ces appareils ne sont pas sous contrôle, et aucun ne fonctionne dans le cadre des périmètres du réseau d'entreprises. 28 % des incidents de violation selon le rapport d'enquête 2018 de Verizon sur les violations de données étaient perpétrés par des acteurs internes. Les défenses basées sur le périmètre ne peuvent rien contre ces types de menaces. Comme solution, Forrester avait défini et proposé le concept du réseau zéro confiance en 2010. En 2014, Google l'a mis en œuvre en tant qu'approche de sécurité de BeyondCorp. En 2017, Gartner l'a décrit comme une évaluation continue du risque et de la confiance (CARTA).

    Le modèle d’accès zéro confiance est centré sur le principe selon lequel les organisations ne doivent faire confiance à aucun appareil à l’intérieur comme à l’extérieur de leur périmètre. Avec ce modèle, tout le trafic réseau est considéré comme non-fiable et toutes les données doivent être inspectées en permanence. Pour établir la confiance et obtenir un accès, les utilisateurs doivent prouver leur identité et valider le fait que leur appareil est exempt de cybermenaces. Un appareil qui a été compromis ne peut pas bénéficier de cette confiance et ne doit pas obtenir d’accès. L’objectif de l'adoption d'une architecture zéro confiance est de rendre la sécurité omniprésente dans tout l'écosystème numérique.

    Nom : zerotrust2.png
Affichages : 2241
Taille : 21,4 Ko

    Pourquoi adopter l’architecture de sécurité zéro confiance ?

    Gagner en visibilité et en analytique

    Dans l’environnement numérique actuel, le besoin de monitoring semble être primordial. Il convient donc :
    • d'inspecter et enregistrer en permanence tout le trafic, tant en interne qu'en externe, pour surveiller les activités malveillantes grâce aux fonctionnalités de protection en temps réel ;
    • d'appliquez strictement les contrôles afin que les utilisateurs n'aient accès qu'aux ressources nécessaires pour effectuer leurs tâches ;
    • d'authentifier les utilisateurs, surveiller et régler en permanence leurs accès et privilèges ;
    • de sécurisez les utilisateurs lorsqu'ils interagissent avec Internet.


    Éliminer la confiance

    Les erreurs des employés restent la cause la plus courante de violations des données. Supposons que tout le trafic, quel que soit son emplacement, constitue un trafic menaçant jusqu'à ce qu'il soit vérifié, ce qui signifie qu'il doit être autorisé, inspecté et sécurisé.

    Les pare-feux traditionnels ne peuvent plus apporter une pleine satisfaction

    Les pare-feux traditionnels ne répondent plus à certaines normes et contraintes offrant une défense adéquate contre les menaces émergentes et de plus en plus sophistiquées. Lorsque vous implémentez une architecture zéro confiance, vous devez disposer de protections résilientes et superposées pour empêcher les attaquants qui ont échappé aux mécanismes de détection basés sur les points de terminaison d’avoir un accès libre aux ressources de votre ordinateur ou d’autres périphériques sur le réseau.

    Le vol d'identité reste un grand énorme

    l'année dernière, l’escalade des privilèges aurait été utilisée pour accéder aux ressources réseaux lors des actes de violations de données plus que toute autre méthode. Les défenses basées sur le périmètre sont totalement inefficaces contre ce type d'attaque. Une fois qu'un attaquant a accès à des informations d'identification privilégiées, il est libre de se déplacer latéralement sur le réseau, à moins que la surveillance du trafic ne soit en place et puisse alerter sur ces activités anormales.

    Modèle solide pour des architectures de sécurité robustes et résilientes

    L'adoption du modèle zéro confiance implique que vous devez changer la manière dont les parties prenantes de votre organisation voient les risques et les menaces liés à la sécurité des informations. Une implémentation de la protection en couche dans le réseau de votre infrastructure et l’utilisation de pare-feux de dernière génération réduiront considérablement les vulnérabilités dans votre infrastructure.

    Alors que les investissements dans la cybersécurité continuent d’augmenter, les activités malveillantes ne montrent aucun signe de faiblesse. Les opérations cybercriminelles sont de plus en plus sophistiquées, ciblées et mieux financées. Si votre organisation est sérieuse dans sa politique de sécurité, le zéro confiance représente une voie à suivre. Bien que l’esprit et les modèles de sécurité zéro confiance soient assez simples à expliquer, l’implémentation de l’architecture de sécurité zéro confiance n'est pas une tâche facile.




    Source : Comodo

    Et vous ?

    Que pensez-vous de l'architecture de sécurité zéro confiance ?

    Pensez-vous que cela soit efficace pour combattre les menaces ?

    Allez-vous mettre en place cette stratégie ?

    Voir aussi :

    Google tente une nouvelle approche à la sécurité de l'entreprise, avec son initiative BeyondCorp

    Sécurité : près de 45 % des logiciels malveillants sont distribués via des macros Microsoft Office, selon des chercheurs de Cofense Intelligence
    Bien avec vous.

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    408
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 408
    Points : 1 697
    Points
    1 697
    Par défaut
    Pour établir la confiance et obtenir un accès, les utilisateurs doivent prouver leur identité et valider le fait que leur appareil est exempt de cybermenaces.
    "l’architecture de sécurité zéro confiance"???

    La théorie est parfaite comme toutes les théories tant qu'elles restent... théoriques! Mais quand il faut la mettre en pratique... C'est là que cela fait mal!

    Il suffit donc de s'assurer que l'appareil est exempt de cybermenaces... Et comment on est sûr à 100% qu'il n'y a pas de cybermenace?

    La réponse est simple: Tu as autant de chance de repérer une menace que le simple anti-virus installé par Mme Michu sur son PC familliale!

  3. #3
    Candidat au Club
    Profil pro
    CTO
    Inscrit en
    janvier 2006
    Messages
    3
    Détails du profil
    Informations personnelles :
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : CTO

    Informations forums :
    Inscription : janvier 2006
    Messages : 3
    Points : 4
    Points
    4
    Par défaut
    C'est simple pourtant, il suffit :
    • d'inspecter et enregistrer en permanence tout le trafic, tant en interne qu'en externe, pour surveiller les activités malveillantes grâce aux fonctionnalités de protection en temps réel ;
    • d'appliquez strictement les contrôles afin que les utilisateurs n'aient accès qu'aux ressources nécessaires pour effectuer leurs tâches ;
    • d'authentifier les utilisateurs, surveiller et régler en permanence leurs accès et privilèges ;
    • de sécurisez les utilisateurs lorsqu'ils interagissent avec Internet.


    A se tordre de rire

  4. #4
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 202
    Points : 7 564
    Points
    7 564
    Billets dans le blog
    43
    Par défaut
    La sécurité, il en faut. Mais...
    "Zéro confiance"...
    Je plains les salariés de boîtes qui adoptent cette mentalité moisie pour resté poli.

    Cependant, pour vendre derrière du consulting par wagons, c'est un bon concept.
    Tutoriels et FAQ TypeScript

  5. #5
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    1 785
    Détails du profil
    Informations personnelles :
    Âge : 49
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 1 785
    Points : 3 000
    Points
    3 000
    Par défaut
    j'ai une idee : on n'a qu'à faire un code de la route que les conducteurs n'auront qu'à respecter, comme ça hop. plus d'accidents

    ah oui, j'oubliais... le facteur "humain"
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

  6. #6
    Membre actif
    Profil pro
    Inscrit en
    mars 2006
    Messages
    103
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 103
    Points : 270
    Points
    270
    Par défaut
    Le client avec qui je travaille actuellement utilise des certificats périmés depuis 2013.
    La semaine dernière, lors d'une réunion de conception, il nous a dit très sérieusement : "On nous a imposé d'utiliser spring-security pour ce projet. Bon, vous allez me forker ce truc et me l'alléger. De plus, je serai l'admin, inutile de faire la connexion AD pour mon compte, foutez moi ça dans une constante".
    Et inutile de vous dire que ce client fait parti de notre cher gouvernement.

    La sécurité, c'est un concept encore abstrait pour certains. A chaque fois que je vois un post sur la sécurité, j'ai tendance à ricaner tellement on est loin de la réalité.

  7. #7
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 713
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 713
    Points : 26 132
    Points
    26 132
    Par défaut
    Citation Envoyé par JCD_31 Voir le message
    A chaque fois que je vois un post sur la sécurité, j'ai tendance à ricaner tellement on est loin de la réalité.
    Il y aussi des gens qui travaillent pour que la sécurité avance, et soit de moins en moins un facteur risible -- mais il y a encore beaucoup de boulot.

    Sinon, on est clairement ici face à de la vente de consulting :
    "Regardez, on vous vend ce que Google a fait, c'est hype et bien, donnez-nous des sous pour qu'on vous le colle"

    Mais il ne faut pas oublier que la sécurité doit absolument s'adapter aux besoins des entreprises et des utilisateurs, au risque sinon d'arriver au contraire de ce qui était voulu.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. Réponses: 98
    Dernier message: 31/10/2016, 08h33
  2. [GDC 2013] Cinq raisons pour lesquelles les « Free To Play » craignent
    Par Neckara dans le forum Développement 2D, 3D et Jeux
    Réponses: 15
    Dernier message: 02/04/2013, 16h41
  3. Réponses: 5
    Dernier message: 15/06/2009, 11h28
  4. Réponses: 2
    Dernier message: 08/07/2008, 10h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo