Traditionnellement, la cybersécurité est une industrie dominée par les barrières. Plus une technologie était efficace pour séparer le bien du mal et construire toutes sortes de portes, de douves et de murs, mieux c'était. Les entreprises ont dépensé plus de 120 milliards d'euros en 2018 pour prévenir les attaques, mais les violations ont persisté : environ 765 millions de personnes ont été touchées par des cyberattaques en avril, mai et juin de l'année dernière seulement.
Les entreprises commencent à réaliser que la technologie à elle seule n'élimine pas les risques et n'assure pas la sécurité de vos informations. Ils commencent à voir le modèle traditionnel consistant à évaluer de manière exhaustive des dizaines de fournisseurs au fil des mois devenir une tâche de Sisyphe sans d'abord mettre en œuvre la bonne stratégie et les meilleures pratiques. Pour beaucoup, cela signifie Zero Trust.
Zero Trust est devenu un mot à la mode rajeuni au cours des deux dernières années, car il est devenu plus populaire auprès des OSC et des fournisseurs de technologie. La philosophie de base de Zero Trust est "ne jamais faire confiance, toujours vérifier" et fonctionne sur le principe que vous ne pouvez pas séparer le "bon" du "mauvais". Les approches traditionnelles qui se concentraient sur l'établissement d'un périmètre solide pour empêcher les méchants d'entrer ne fonctionnent plus. Les ressources (données, applications, infrastructure, appareils) sont de plus en plus hybrides ou complètement en dehors de ce périmètre. Avec Zero Trust, la confiance est supprimée de l'équation et l'accent est mis sur la vérification continue.
Il a trois locataires principaux:
- Vérifiez chaque utilisateur, à chaque fois
- Validez chaque appareil
- Limitez l'accès intelligemment
Il s'agit d'une approche holistique et stratégique de la sécurité qui garantit que chaque personne et chaque appareil autorisé à accéder à un réseau, une application ou un service est qui et ce qu'il prétend être.
Cloud a fait sauter le périmètre
Zero Trust s'est si rapidement ancré dans l'éthique de la sécurité, en partie parce que la promesse d'une barrière technologique comme solution ultime pour arrêter les menaces et atténuer les risques est devenue impossible à l'ère du cloud. Alors que les entreprises déplacent de plus en plus d'infrastructures et de services vers le cloud, adoptent de plus en plus d'appareils mobiles et prennent en charge toutes sortes de travailleurs à distance, elles créent en fait des trous (ou du moins des trous potentiels) dans leurs propres pare-feu.
J'ai pris la parole au Zero Trust Summit l'année dernière et j'ai vu l'analyste de Forrester, le Dr Chase Cunningham, dire à plusieurs reprises au public qu'à l'ère de la transformation numérique, les périmètres n'existent plus. Les anciennes approches de la sécurité ne sont pas compatibles avec la sophistication des menaces d'aujourd'hui.
« Les gens diront : 'Nous faisons des choses. Nous y travaillons », a déclaré le Dr Cunningham. « Eh bien, devinez quelle était la stratégie de Target avant la brèche ? Protéger, détecter, dissuader, réagir. Devinez quelle était la stratégie d'OMB avant la brèche ? Protéger, détecter, dissuader, réagir. Ce n'est pas une stratégie.
"Si vous vous levez et dites : 'Notre stratégie de sécurité est de travailler vers une infrastructure Zero Trust.' c'est tout", a-t-il poursuivi. "Une prière. N'importe qui peut être derrière tout ça.
Tout est question de contexte
En l'absence de périmètres efficaces, la plus grande arme dont disposent les entreprises contre les acteurs malveillants est l'information. À la base, Zero Trust concerne les informations : avoir suffisamment de contexte sur les utilisateurs, les appareils et le comportement pour déterminer définitivement que quelqu'un est bien celui qu'il prétend être.
Comme Cunningham l'a mentionné, c'est essentiel à l'ère du cloud et des téléphones mobiles. Il y a dix ans, les stratégies de sécurité reposaient sur un seul signal : une requête provenait-elle de l'intérieur ou de l'extérieur du pare-feu ? Et ça a marché ! La plupart des utilisateurs se sont connectés à des réseaux, des applications et des services depuis leur bureau au travail, ou peut-être un ordinateur portable à la maison via un VPN.
Ce n'est pas le cas. Les gens ont besoin d'un accès depuis leur bureau, en faisant la queue pour un café ou à 30 000 pieds dans le ciel dans un avion. Ils se connectent à partir d'ordinateurs de bureau, d'ordinateurs portables, de téléphones et de tablettes. Au lieu d'un seul signal, il en faut des centaines pour finalement décider de donner ou non l'accès à quelqu'un. Zero Trust garantit que le contexte est fourni à chaque fois, avec chaque utilisateur.
Est-ce que quelqu'un a les bonnes informations d'identification, mais est-ce qu'il se trouve sur un appareil de confiance ? Ils ont des informations d'identification et se trouvent sur un appareil de confiance, mais se trouvent-ils dans un endroit inhabituel ou se connectent-ils à une heure inhabituelle ? Ces signaux sont de précieux éléments de contexte qui aident à sécuriser les informations dans l'environnement actuel. Une approche Zero Trust, associée à la bonne technologie, garantit que les entreprises auront la capacité de répondre à ces questions.
Selon le rapport 2018 sur les violations de données de Verizon, plus de 81 % des violations sont dues à des mots de passe faibles ou volés. Avec ces informations, il est irresponsable pour les entreprises de se considérer protégées uniquement par des noms d'utilisateur et des mots de passe. Alors que l'identité en ligne devient de plus en plus complexe et de plus en plus importante pour les entreprises et les consommateurs, l'approche Zero Trust deviendra fermement ancrée dans le vocabulaire de toutes les OSC.
Oui, c'est un mot à la mode aujourd'hui, mais c'est aussi une stratégie de cybersécurité essentielle à l'ère du cloud.
Corey Williams, vice-président de la stratégie chez Idaptive(ouvre dans un nouvel onglet)