Vous avez probablement entendu dire que la confiance zéro n'est pas un produit ou une solution ; en fait, des experts allant de l'équipe d'analystes du Forrester, Les stratèges de l'ASR ont fait valoir ce point. Il s'agit plutôt d'une stratégie de sécurité. Et si le concept est relativement simple - ne faites confiance à personne avant d'avoir vérifié que vous pouvez le faire - la mise en œuvre est souvent écrasante. Une fois que vous vous êtes engagé à adopter une approche de confiance zéro, le vrai travail commence. Mais par où commencer ?
La réponse : l'identité.
En tant que première ligne de défense contre les menaces de cybersécurité, l'identité est essentielle pour faire de la confiance zéro un outil réel et pratique que les organisations peuvent utiliser pour améliorer leur posture de sécurité. L'idée qui sous-tend la confiance zéro est que la confiance ne peut jamais être présumée, mais qu'elle doit être établie à chaque interaction...ce qui est précisément le cas de l'identité.
Chaque fois qu'un utilisateur s'authentifie, la confiance est vérifiée avant que l'accès ne soit accordé. Il s'agit là d'un élément fondamental pour faire du concept de confiance zéro une réalité quotidienne.
Voyons ce que cela signifie, en commençant par ce qu'est exactement la confiance zéro.
La confiance zéro est une façon d'envisager la sécurité dans un monde de plus en plus numérique, où le périmètre du réseau traditionnel sur lequel nous nous sommes appuyés pendant des années a été pratiquement effacé. Aujourd'hui, les gens peuvent travailler (et le font) de n'importe où. Les ressources auxquelles ils accèdent peuvent être dans le nuage, sur site, ou une combinaison des deux, et ils y accèdent depuis des endroits situés bien au-delà de tout périmètre de protection. La question qui se pose alors est de savoir comment sécuriser ces ressources.
L'adoption de la confiance zéro est une façon de résoudre le problème. Le principe directeur de la confiance zéro est simplement que la confiance ne peut jamais être présumée. Chaque interaction liée à l'accès aux ressources doit être considérée comme potentiellement risquée. Comme le dit Jim Taylor, directeur général des produits chez RSA, "la confiance zéro est une façon d'aborder une situation où l'on ne dispose plus des mécanismes de sécurité que l'on avait l'habitude d'avoir". Plutôt que de supposer que l'on peut faire confiance à une personne ou à un appareil, la confiance doit être vérifiée à chaque interaction.
Avec l'érosion du périmètre traditionnel, l'identité devient le principal moyen d'établir la confiance. "L'identité est le nouveau périmètre : c'est la seule chose que vous pouvez contrôler et sécuriser", a déclaré M. Taylor. "Si je peux déterminer avec un haut degré de confiance que vous êtes qui vous prétendez être, je peux vous authentifier et vous autoriser. La capacité à faire confiance à l'identité de quelqu'un ou de quelque chose permet de baser la politique de sécurité sur l'identité".
Bien sûr, l'idée d'utiliser l'identité pour établir la confiance n'est pas nouvelle. Mais le contexte dans lequel s'établit la confiance a changé de telle sorte que l'identité est plus essentielle que jamais. De plus en plus, la main-d'œuvre comprend non seulement des employés à temps plein sur place, mais aussi des entrepreneurs, des travailleurs ponctuels et de nombreuses autres personnes qui ont besoin d'accéder à des ressources, et pas seulement sur place. Aujourd'hui, les interactions se font numériquement et en ligne à un point tel que l'emplacement physique d'une personne n'est plus fondamental pour établir la confiance. Ces changements expliquent pourquoi la confiance zéro est si pertinente aujourd'hui et pourquoi l'identité est essentielle.
L'identité ouvre la voie à la confiance zéro de trois manières spécifiques.
- Permet d'accéder aux bonnes personnes. La capacité d'établir le bon niveau de confiance avant d'accorder l'accès est essentielle pour opérer à partir d'un état d'esprit de confiance zéro. Pour soutenir la confiance zéro, vous avez besoin de capacités d'identité et d'accès qui incluent une gamme de méthodes d'authentification multifactorielle (MFA), ainsi qu'une gouvernance et une administration des identités (IGA) solides pour permettre une autorisation d'accès basée sur la gouvernance et la visibilité.
- Soutien à la prise de décision dynamique. Pour appliquer avec succès une approche de confiance zéro en matière d'accès, vous devez être en mesure d'utiliser le contexte pour évaluer le risque associé à une interaction particulière et prendre ensuite des décisions d'accès basées sur le niveau de risque. Une approche de confiance zéro nécessite une prise de décision dynamique basée sur le contexte, il est donc important de pouvoir appliquer une authentification basée sur le risque.
- Alignement sur le cadre de l'architecture de confiance zéro du NIST. Le National Institute of Standards and Technology (NIST) a développé un cadre pour une architecture de confiance zéro. Les composants d'identité et d'accès qui incluent l'analyse basée sur le risque requise par le NIST et l'accès basé sur les rôles et les attributs sont essentiels pour travailler dans le cadre du NIST.
Toute approche de la sécurité d'accès, y compris la confiance zéro, comporte deux volets : empêcher les méchants d'entrer et laisser entrer les bons. Si vous vous concentrez exclusivement sur la défense et que vous ne laissez personne entrer, vous aurez peu de risques mais aussi peu d'activités. Le terme "confiance zéro" ne signifie pas qu'il ne faut jamais faire confiance à personne. Il signifie qu'il ne faut faire confiance à personne sans d'abord s'assurer que l'on peut lui faire confiance. Et l'identité est essentielle pour s'assurer que quelqu'un ou quelque chose est digne de confiance. Avec les bons outils d'identité, vous pouvez adopter un état d'esprit de confiance zéro dans la gestion des accès et prospérer dans le monde numérique.
En savoir plus sur le programme exclusif de RSA l'accent mis sur l'identité aujourd'hui, et en savoir plus sur la confiance zéro de RSA :
- Télécharger le Guide de mise en œuvre du programme Zero Trust de Forrester
- Découvrez comment RSA s'attaque confiance zéro défis
- En savoir plus sur l'ASR produits qui soutiennent la confiance zéro
