Inventé par Forrester en 2010, le terme "zéro confiance" fait référence à une nouvelle approche de la sécurité qui repose sur la vérification continue de la fiabilité de chaque appareil, utilisateur et application au sein d'une entreprise.
Avant cette notion de confiance zéro, la plupart des équipes de sécurité s'appuyaient sur une approche "faire confiance mais vérifier" qui mettait l'accent sur un périmètre défensif solide. Ce modèle part du principe que tout ce qui se trouve à l'intérieur du périmètre du réseau (y compris les utilisateurs, les ressources et les applications d'une organisation) est digne de confiance, de sorte que les équipes de sécurité accordent par défaut l'accès et les privilèges à ces utilisateurs et à ces ressources. En revanche, tout ce qui se trouve à l'extérieur du périmètre doit faire l'objet d'une autorisation avant d'y accéder.
Là où la sécurité traditionnelle dit "faire confiance mais vérifier", la confiance zéro dit "ne jamais faire confiance, toujours vérifier". La sécurité zéro confiance ne "nettoie" jamais vraiment quoi que ce soit. Au contraire, elle considère que toutes les ressources sont externes au réseau de l'organisation et vérifie en permanence les utilisateurs, les ressources, les appareils et les applications avant de n'accorder que le niveau d'accès minimal requis. La mise en place d'un programme de sécurité zéro confiance implique une coordination entre plusieurs composants informatiques et nécessite une approche globale.
Comment le concept de confiance zéro a-t-il évolué au fil du temps ?
La mise en œuvre de la confiance zéro a évolué au fil du temps. Malgré le nom accrocheur, les organisations n'ont pas besoin d'être les absolutistes de la confiance zéro - Il serait peu pratique, voire impossible, de toujours tout vérifier.
Au lieu de cela, la confiance zéro a évolué d'un concept binaire où rien n'est intrinsèquement sûr et où tout doit être vérifié vers quelque chose de beaucoup plus nuancé et dynamique. Aujourd'hui, la confiance zéro intègre des ensembles de données plus larges, des principes de risque et des politiques dynamiques basées sur le risque afin de fournir une base solide pour prendre des décisions d'accès et effectuer une surveillance continue. La défense fondée sur la confiance zéro s'appuie sur diverses sources, notamment les renseignements sur les menaces, les journaux de réseau, les données des terminaux et d'autres informations pour évaluer les demandes d'accès et le comportement de l'utilisateur. NIST a publié des documents préconisant la confiance zéro et développant cette approche plus large et plus dynamique.
Récemment, l'intérêt pour la confiance zéro s'est accru, sous l'effet des tendances du marché qui se sont accélérées à la suite de la pandémie mondiale :
- L'accélération de la transformation numérique (l'adoption de technologies et de solutions nouvelles et émergentes pour moderniser et accélérer les interactions commerciales avec les clients, les employés et les partenaires).
- Migration vers l'informatique dématérialisée / SaaS
- Travail à distance
- L'évaporation des zones de confiance protégées par un VPN (périmètre du réseau) et la prise de conscience que les pare-feu sont moins utiles pour détecter et bloquer les attaques provenant de l'intérieur et ne peuvent pas protéger les sujets situés à l'extérieur du périmètre de l'entreprise.
Auparavant, dans la plupart des environnements informatiques d'entreprise, la confiance était établie principalement en fonction de l'emplacement. Les utilisateurs accédaient aux ressources de l'entreprise, à partir d'un ordinateur appartenant à l'entreprise, depuis le campus de l'entreprise. Le fait d'être physiquement présent sur un campus d'entreprise impliquait qu'un utilisateur avait satisfait aux exigences de contrôle et d'accréditation pour accéder aux ressources informatiques de l'entreprise, résidant généralement dans un centre de données local. La "zone de confiance" était protégée par des technologies autorisées (de protection) telles que des pare-feu, des systèmes de détection/protection contre les intrusions et d'autres ressources.
Au fil du temps, les périmètres informatiques du campus ont été étendus pour inclure les bureaux distants et satellites, élargissant ainsi la bulle de la zone de confiance grâce à des connexions sécurisées et privées entre les sites. Au début des années 2000, avec l'apparition de nouvelles méthodes d'accès telles que le VPN et le WiFi, de nouvelles technologies sont venues s'ajouter à l'arsenal des technologies de l'information et de la communication. l'authentification et l'attribution de titres d'accès afin de préserver l'intégrité relative du périmètre. Parmi ces mesures, on peut citer authentification à deux facteurs (2FA) et la norme IEEE 802.1x pour le contrôle d'accès au réseau (NAC) basé sur les ports.
Les évolutions ultérieures de l'informatique en nuage, de l'apport d'un appareil personnel et de l'hypermobilité ont tout changé. Les organisations dépendent désormais de ressources informatiques qui dépassent largement les limites d'une seule zone de confiance. En outre, les employés, les partenaires et les clients ont désormais besoin d'accéder aux systèmes à partir de n'importe quel lieu, moment et appareil. Les vulnérabilités et les failles de sécurité qui en résultent ont marqué le début d'une nouvelle ère de piratage, où les failles de sécurité sont devenues monnaie courante. Le périmètre d'antan est obsolète.
L'érosion du périmètre de sécurité a ouvert la voie à la confiance zéro. Toutefois, il convient de noter que le concept n'était pas entièrement nouveau, même en 2010. Si le nom "confiance zéro" était nouveau et a attiré l'attention, la question de savoir comment établir la confiance dans le monde intrinsèquement indigne de confiance de l'internet fait l'objet de recherches universitaires depuis plus de quarante ans. En fait, la création de RSA, il y a près de quarante ans, trouve son origine dans des travaux universitaires réalisés à la fin des années 1970, qui ont permis d'établir des communications et des transactions sécurisées dans un espace non fiable.
Alors que les années se sont transformées en décennies et que la transformation numérique s'est emparée des entreprises et de la société, les approches de la confiance ont continué d'évoluer.
La confiance zéro n'a cessé de gagner en popularité ces dernières années. Toutefois, les perturbations résultant de la pandémie de COVID-19 ont accéléré l'intérêt pour la confiance zéro. comment les organisations peuvent renforcer leur résilience après une perturbation majeure.
Comme la plupart des autres années, les responsables de la sécurité et de la gestion des risques ont entamé la nouvelle décennie avec des plans plutôt sophistiqués pour faire évoluer leurs pratiques de gestion des risques numériques. Toutefois, l'apparition du COVID-19 a amené les équipes de sécurité à se concentrer sur des besoins plus tactiques, tels que permettre aux travailleurs à distance, L'entreprise a dû faire face à de nombreux défis, tels que la réduction des coûts, la sécurisation des changements opérationnels pour maintenir les fonctions de l'entreprise ou pour tirer parti de nouvelles opportunités, la réévaluation des risques liés aux tiers et à la chaîne d'approvisionnement, l'accélération de l'intégration et bien d'autres encore. Les budgets ont été réduits ou gelés, de longues listes de projets en attente ont d'abord été réduites, puis rapidement accélérées. Les équipes sont maintenant confrontées à la sécurisation de nouvelles initiatives numériques qui ne s'intègrent pas nécessairement dans les régimes de sécurité et de risque complexes en place.
La confiance zéro offre une base pour une approche expéditive et vérifiée pour les organisations qui s'efforcent de suivre le rythme de la transformation numérique.
En août 2020, le NIST a publié Publication spéciale 800-207 du NIST : Architecture de confiance zéro, Ce document comprend les éléments logiques d'une architecture de confiance zéro, les scénarios de conception possibles et les menaces. Il présente également une feuille de route générale pour les organisations qui souhaitent appliquer les principes de la confiance zéro.
Les paragraphes suivants décrivent les éléments de l'architecture et présentent brièvement les produits et les fonctionnalités du portefeuille RSA qui s'alignent sur l'architecture de confiance zéro.
Vous trouverez ci-dessous une description de chaque élément (tel que défini dans le document NIST SP 800-207) avec des références supplémentaires aux produits et services de l'ASR, le cas échéant.
Moteur de politique : Ce composant est responsable de la décision finale d'accorder l'accès à une ressource pour un sujet donné. Le moteur de politique utilise la politique de l'entreprise ainsi que les données provenant de sources externes (par exemple, les systèmes CDM, les services de renseignement sur les menaces décrits ci-dessous) pour alimenter un algorithme de confiance afin d'accorder, de refuser ou de révoquer l'accès à la ressource. Le moteur de politique est associé au composant d'administration de la politique. Le moteur de politique prend et enregistre la décision, et l'administrateur de politique exécute la décision.
RSA l'accès basé sur les rôles et les attributs, l'accès conditionnel et l'analyse basée sur les risques sont tous des éléments fondamentaux pour la mise en place d'un point de décision politique et d'un moteur politique.
Administrateur de la politique : Ce composant est chargé d'établir et/ou d'interrompre le chemin de communication entre un sujet et une ressource. Il génère tout jeton ou justificatif d'authentification utilisé par un client pour accéder à une ressource de l'entreprise. Il est étroitement lié au moteur de politique et dépend de sa décision d'autoriser ou de refuser une session. Certaines implémentations peuvent traiter le moteur de politiques et l'administrateur de politiques comme un service unique. L'administrateur de politique communique avec le point d'application de la politique lors de la création du chemin de communication. Cette communication s'effectue via le plan de contrôle.
RSA propose une gamme de méthodes d'authentification et d'expériences utilisateur (c'est-à-dire choix d'authentification, BYOA) pour administrer l'authentification et déterminer l'accès lorsque le point d'application de la politique le demande.
Point d'application de la politique :
Ce système est responsable de l'activation, de la surveillance et, éventuellement, de l'arrêt des connexions entre un sujet et une ressource de l'entreprise.
Il s'agit d'un composant logique unique dans l'architecture de confiance zéro, mais il peut être divisé en deux composants différents : le côté client (par exemple, l'agent sur l'ordinateur portable de l'utilisateur) et le côté ressource (par exemple, le composant passerelle devant la ressource qui contrôle l'accès) ou un composant portail unique qui agit en tant que gardien pour les chemins de communication. Au-delà du point d'application de la politique se trouve la zone de confiance implicite qui héberge la ressource de l'entreprise.
Les produits RSA peuvent à la fois déterminer les décisions stratégiques appliquées par les points d'application des politiques des partenaires (VPN, sites Web, applications, etc.) et appliquer directement les politiques sur les terminaux.
L'authentification multi-facteurs SecurID®, agissant en tant que décision de politique, fonctionne avec une myriade de dispositifs partenaires (ordinateurs de bureau, serveurs, machines virtuelles, serveurs web, portails, dispositifs réseau, applications, etc.
Politiques d'accès aux données :
Il s'agit des attributs, des règles et des politiques d'accès aux ressources de l'entreprise. Cet ensemble de règles peut être encodé ou généré dynamiquement par le moteur de politiques. Ces politiques sont le point de départ de l'autorisation d'accès à une ressource car elles fournissent les privilèges d'accès de base pour les comptes et les applications dans l'entreprise. Ces politiques doivent être basées sur les rôles et les besoins définis de l'organisation.
Gouvernance et cycle de vie de SecurID est un point de départ idéal pour autoriser l'accès à une ressource en mettant clairement l'accent sur la gouvernance, la visibilité des données structurées et non structurées, ainsi que sur l'analyse et l'intelligence pour garantir l'application des principes de moindre privilège.
Système de gestion de l'identité:
Il est responsable de la création, du stockage et de la gestion des comptes d'utilisateurs et des enregistrements d'identité de l'entreprise (par exemple, le serveur LDAP (lightweight directory access protocol)). Ce système contient les informations nécessaires sur l'utilisateur (nom, adresse électronique, certificats, etc.) et d'autres caractéristiques de l'entreprise telles que le rôle, les attributs d'accès et les actifs attribués. Ce système utilise souvent d'autres systèmes (tels qu'une ICP) pour les artefacts associés aux comptes d'utilisateurs. Ce système peut faire partie d'une communauté fédérée plus large et peut inclure des employés n'appartenant pas à l'entreprise ou des liens vers des actifs n'appartenant pas à l'entreprise à des fins de collaboration.
RSA s'intègrent à tous les principaux systèmes de gestion des identités (Microsoft AD / Azure AD / AWS AD) afin d'intégrer de manière transparente les identités aux politiques, à l'administration et aux méthodes nécessaires au fonctionnement d'une architecture de confiance zéro.
Renseignements sur les menaces :
Il s'agit d'informations provenant de sources internes ou externes qui aident le moteur de politique à prendre des décisions en matière d'accès. Il peut s'agir de plusieurs services qui utilisent des données provenant de sources internes et/ou externes multiples et qui fournissent des informations sur les attaques ou les vulnérabilités récemment découvertes. Il s'agit également de listes noires, de logiciels malveillants nouvellement identifiés et d'attaques signalées contre d'autres biens auxquels le moteur de stratégie voudra interdire l'accès à partir des biens de l'entreprise.
RSA IAM exploite les signaux, internes et externes, pour renforcer l'assurance (signaux positifs) et identifier les menaces (signaux négatifs). Par exemple, les signaux internes tels que l'historique de l'utilisateur, l'analyse comportementale, l'adresse IP, le réseau et l'emplacement peuvent être des facteurs permettant de déterminer les décisions d'authentification et d'accès basées sur le risque.
###
Essayez la démo !
Essayez la solution d'authentification multifactorielle (MFA) dans le nuage ID Plus - l'un des produits les plus sûrs du marché, et le MFA le plus déployé au monde. Découvrez pourquoi : inscrivez-vous à notre essai gratuit de 45 jours.
