La confiance zéro est un cadre de sécurité qui se concentre sur l'idée qu'aucune entité ne devrait automatiquement avoir accès à un réseau ; au lieu de cela, chacun doit être vérifié pour les privilèges. Né de la prise de conscience que l'extérieur et l'intérieur d'un réseau peuvent créer des menaces de cybersécurité, il remplace les méthodes d'authentification traditionnelles et aide à protéger des réseaux de plus en plus fragmentés et diversifiés.
À propos de l'auteur Rich Orange, vice-président UK&I, Forescout. Lors de la mise en œuvre du modèle Zero Trust, il est essentiel que les organisations comprennent chaque utilisateur connecté, ses appareils et les données auxquelles ils tentent d'accéder. Cela devrait déjà être le fondement de tout cadre de sécurité - après tout, la visibilité est l'épine dorsale de la sécurité - mais c'est extrêmement important lorsque l'on tente de créer des contrôles de politique et de conformité appropriés dans le cadre d'une « stratégie de confiance zéro ». En fin de compte, les entreprises doivent savoir qui et quoi tente d’accéder à quoi avant de pouvoir créer les paramètres et contrôles appropriés.
Un appareil est-il donc un utilisateur ?
L'idée d'un « utilisateur » analysée lors de l'application du Zero Trust. Cette définition est devenue encore plus complexe avec l'augmentation massive du nombre d'appareils connectés au réseau, notamment les appareils Internet des objets (IoT) et de technologie opérationnelle (OT). Avec toutes ces nouvelles technologies connectées au réseau, la surface d’attaque potentielle s’étend considérablement. Cela oblige les entreprises à déterminer une identité pour tout ce qui entre en contact avec le réseau : utilisateurs, appareils, infrastructure virtuelle et actifs de cloud computing. Un moyen efficace d’évaluer les connexions consiste à segmenter les appareils en catégories d’appareils. Avec les appareils IoT, aucune assistance humaine n’est requise pour collecter, accéder et partager des informations, ou pour automatiser les fonctions et améliorer l’efficacité. Cette technologie constitue la catégorie d’appareils qui connaît la croissance la plus rapide. L'IoT industriel est une connexion courante dans les environnements industriels et manufacturiers via la communication machine à machine (M2M). Cela a également été adopté par les applications de santé, d’affaires et d’assurance. L’OT est regroupé en réseaux mais nécessite le même niveau de sécurité. Selon Gartner, d’ici 2021, 70 % de la sécurité de l’EO sera gérée directement par le CIO ou le RSSI, contre 35 % aujourd’hui. Les appareils intelligents peuvent être extrêmement problématiques lorsqu’il s’agit de décisions en matière de sécurité. Par exemple, dans le cas d’attaques DDoS généralisées, des botnets comme Mirai peuvent prendre le contrôle d’appareils IoT non gérés dotés d’informations d’identification faibles, ce qui pourrait conduire des millions d’entre eux à perturber des services critiques. .
Les appareils sont toujours uniques.
Pour bien comprendre un appareil et donc déterminer à quels accès il doit être autorisé sur le réseau, il ne suffit pas de regarder son adresse IP. Il reste encore beaucoup à vérifier : des détails granulaires et une connaissance complète de la situation sont essentiels pour garantir la sécurité totale de tout réseau. Ces informations peuvent inclure la dernière gestion des correctifs reçus par l'appareil, ainsi que son contexte métier. Les caméras avec connexion IP en sont un bon exemple. Le même type de caméra peut être utilisé pour diverses fonctions dans une entreprise, de la vidéoconférence à la vidéosurveillance. Dans le secteur financier par exemple, la vidéo est utilisée pour surveiller les clients et est intégrée aux distributeurs automatiques pour analyser les dépôts de chèques ; Cependant, ce même modèle de caméra pourrait être utilisé sur une plateforme pétrolière, où il est utilisé à des fins de santé et de sécurité. Cela signifie que la caméra doit être capable de partager des chemins de communication avec plusieurs applications de centre de données et services cloud, et ces chemins seront uniques à l'entreprise qui les utilise et à la fonction souhaitée. C’est pourquoi le modèle Zero Trust doit reposer sur l’identité et le contexte de l’appareil.
Les appareils IoT et OT nécessitent des mesures spéciales
Un autre principe de base à garder à l’esprit lors de la création d’un écosystème Zero Trust est qu’il doit aller au-delà des utilisateurs et inclure les appareils non-utilisateurs. Les utilisateurs qui, dans un environnement traditionnel, se verraient garantir un accès automatique car séparés du réseau, ne bénéficieront plus de ce privilège, ce qui signifie que toute personne ou toute personne tentant d'accéder pourra être traitée comme si elle n'était pas un utilisateur. Il s'agit d'un processus efficace, il est important d'utiliser une visibilité des appareils sans agent et une solution de surveillance du réseau pour les appareils IoT et OT, car les produits de sécurité basés sur des agents ne prennent souvent pas en charge ce type de technologies. Ceci, combiné à une compréhension détaillée de chaque appareil sur ou tenter d’accéder au réseau, au flux de trafic et aux dépendances en matière de ressources contribuera à construire une architecture Zero Trust extrêmement robuste. Enfin, la segmentation du réseau doit être utilisée pour maintenir un contrôle complet sur tous les systèmes de l'entreprise. La segmentation peut aider à respecter les principes critiques de confiance zéro et de gestion des risques en surveillant en permanence l'accès du réseau aux appareils des utilisateurs afin de protéger les applications métier critiques. Il peut également être utilisé pour limiter l’effet qu’une violation pourrait avoir sur les systèmes en bloquant les appareils IoT et OT s’ils agissent de manière suspecte, empêchant ainsi les mouvements latéraux dans le réseau. La segmentation peut fournir des contrôles et des précautions supplémentaires pour les appareils qui ne peuvent pas être corrigés ou mis à jour en les conservant dans des zones séparées, réduisant ainsi la surface d'attaque. Le zéro confiance peut être difficile à atteindre dans son intégralité, mais en mettant en œuvre les mesures appropriées, telles qu'un examen minutieux de chaque appareil et une segmentation efficace du réseau, les équipes de sécurité peuvent être sûres de la probabilité d'une violation. complet au minimum absolu.