Lorsque les individus constituent le périmètre du réseau, une approche de sécurité Zero Trust s’impose
Les données sont le nouvel or noir, ce qui n'a pas échappé aux pirates informatiques. Dans un monde toujours plus interconnecté, nos ressources numériques les plus précieuses, notamment nos identités numériques, n'ont jamais été aussi exposées aux risques. À l'ère numérique, il suffit en effet aux cybercriminels de se connecter à l'aide d'identifiants dérobés pour avoir accès à des documents protégés et autres informations confidentielles. Se fier uniquement aux noms d'utilisateur et aux mots de passe pour protéger les systèmes présente un risque qui profite aux pirates, car il n'existe aucune solution miracle pour empêcher ces identifiants d'être falsifiés par un acteur externe (voire interne) à l'entreprise.
Concrètement, dans le monde mobile et « cloud first » actuel, les pratiques de sécurité du passé deviennent rapidement obsolètes. Le périmètre du réseau tel que nous le connaissons a volé en éclats sous l'effet conjugué des services cloud et du télétravail. Ce qui compte aujourd'hui, c'est la manière dont les gens accèdent à leurs ressources et dont les entreprises gèrent le trafic réseau et les demandes d'accès, d'où qu'elles viennent. Les entreprises qui migrent dans le cloud ont besoin d'un nouveau modèle de sécurité pour se protéger, et ce modèle, c'est le Zero Trust.
Nous avons besoin d'un nouveau mode de pensée
Pour ceux qui ne le sauraient pas, le Zero Trust est un modèle de sécurité mis au point en 2009 par John Kindervag, analyste chez Forrester Research. Il part du principe que le contexte de sécurité a fondamentalement changé et que la totalité du trafic réseau est désormais potentiellement vulnérable. La confiance ne peut donc pas reposer sur l'origine des connexions réseau.
Le framework Zero Trust préconise trois bonnes pratiques de sécurité :
-
Accès sécurisé à l'ensemble des ressources
-
Contrôle strict des accès, quelle qu'en soit l'origine
-
Inspection et historisation de la totalité du trafic
Le Zero Trust a évolué en même temps que les entreprises modernes et leurs nouveaux problèmes de sécurité. S’appuyant sur le modèle d'origine, l'écosystème ZTX (Zero Trust Extended Ecosystem) constitue un framework de sécurité développé pour un monde mobile et « cloud first » :
-
Données chiffrées en transit et au repos, et protégées par des systèmes de classification
-
Collaborateurs, flux et terminaux considérés aussi peu fiables que le trafic réseau
-
Automatisation et orchestration d'un plus grand nombre de processus dans un souci d'efficacité
Il existe d'autres modèles de sécurité similaires — l'approche CARTA de Gartner, par exemple, cadre particulièrement bien avec notre approche de sécurisation de l'environnement cloud. Actuellement, sachant que 81 % des failles de sécurité sont imputables à un vol d'identifiants et qu'un e-mail sur 100 est un vecteur d'attaques de phishing, le niveau de risque est tel qu'il impose de contrôler les accès, de sécuriser l'accès de chaque utilisateur à ses ressources, et d'inspecter et enregistrer la totalité du trafic réseau.
Chez Okta, nous nous intéressons depuis un certain temps au Zero Trust, comme en témoigne notre approche de la sécurité basée sur l'identité. Nous adaptons constamment nos solutions de gestion des identités aux réalités de l'environnement de travail moderne. C'est la raison pour laquelle nous avons récemment racheté ScaleFT, une plateforme de gestion des accès garantissant un accès à distance sécurisé sans VPN. Avec ScaleFT, les télétravailleurs se connectent à leurs systèmes de travail à l'aide de certificats clients connaissant le contexte de la connexion (notamment le terminal) et expirant après chaque utilisation. L’authentification de l'identité des utilisateurs à ce niveau, sans le moindre doute ou compromis, est la condition de la sécurisation dans le cloud. C'est d'ailleurs ce qui nous permet d'affirmer que nos solutions de gestion des identités sont un gage de sécurité Zero Trust. ScaleFT n'est qu'une partie de notre approche du Zero Trust, qui s'appuie sur l'ensemble de nos solutions et partenariats pour assurer une sécurité rigoureuse.
Prenons l'exemple de notre partenariat avec Yubico. Yubico est le fabricant des clés physiques YubiKey, qui authentifient les utilisateurs de manière sécurisée selon les principaux standards, dont U2F (Universal 2nd Factor). Nous nous sommes associés pour coupler ces jetons à notre solution Okta Adaptive Multi-Factor, afin de proposer aux entreprises différents facteurs d'authentification et leur permettre de choisir ceux qui conviennent le mieux à leur activité — U2F, Okta Verify ou d'autres options. Cette liberté de choix a facilité et sécurisé le travail de nombreuses entreprises. Verifone a par exemple ajouté les clés YubiKey dans sa stratégie de sécurité pour offrir un maximum de garanties et de tranquillité d'esprit, en particulier en ce qui concerne les utilisateurs à privilèges de l'entreprise. Cet exemple montre bien que la philosophie de plateforme ouverte d'Okta peut être adoptée pour mettre en œuvre le Zero Trust, indépendamment des préférences en matière de fournisseurs ou des investissements de sécurité en place.
Que vous fassiez vos débuts dans le cloud ou que vous ayez déjà opéré la migration, l'approche Zero Trust est le meilleur moyen d'assurer votre protection. La sécurité Zero Trust repose sur la gestion des identités, et nous continuerons de mettre l’accent sur la sécurité basée sur l'identité pour vous aider à protéger vos ressources les plus importantes.