Vous avez sans doute déjà entendu dire que le « Zero Trust » n’est ni un produit ni une solution ; en effet, selon divers experts, notamment l’équipe d’analystes de Forrester, là où ce terme a vu le jour, jusqu’à nos propres stratèges RSA, tous ont souligné ce point. Il s’agit plutôt d’une stratégie de sécurité. Et bien que le concept soit relativement simple — ne faire confiance à personne tant que l’on n’a pas vérifié qu’on peut le faire —, sa mise en œuvre s’avère souvent colossale. Une fois que l’on s’engage dans une approche « Zero Trust », le vrai travail commence. Mais par où commencer ?
La réponse : l'identité.
En tant que première ligne de défense contre les menaces de cybersécurité, l’identité est essentielle pour faire du « Zero Trust » un outil concret et pratique que les organisations peuvent utiliser pour renforcer leur niveau de sécurité. Le principe sous-jacent au « Zero Trust » est que la confiance ne peut jamais être présumée, mais doit au contraire être rétablie à chaque interaction —ce qui est précisément le cas de l'identité.
À chaque fois qu'un utilisateur s'authentifie, sa fiabilité est vérifiée avant que l'accès ne lui soit accordé. C'est un principe fondamental pour faire du concept de « Zero Trust » une réalité au quotidien.
Voyons ce que cela signifie, en commençant par définir précisément ce qu’est le « Zero Trust ».
Le « Zero Trust » est une approche de la sécurité dans un monde de plus en plus numérique, où le périmètre réseau traditionnel sur lequel nous comptions depuis des années a pratiquement disparu. Aujourd’hui, les utilisateurs peuvent travailler (et le font effectivement) depuis n’importe où. Les ressources auxquelles ils accèdent peuvent se trouver dans le cloud, sur site, ou une combinaison des deux, et ils y accèdent depuis des endroits situés bien au-delà de tout périmètre de protection. La question est alors de savoir comment sécuriser ces ressources.
L'adoption du modèle “ Zero Trust ” est l'un des moyens de résoudre ce problème. Le principe directeur du « Zero Trust » est tout simplement qu'on ne doit jamais présumer de la confiance. Toute interaction liée à l’accès aux ressources doit être considérée comme potentiellement risquée. Comme l’explique Jim Taylor, directeur des produits chez RSA : « Le Zero Trust est une façon d’aborder une situation dans laquelle vous ne disposez plus des mécanismes qui vous permettaient auparavant de vous sentir en sécurité. » Plutôt que de partir du principe qu’une personne ou un appareil est digne de confiance, la confiance doit être vérifiée à chaque interaction.
Avec l'érosion du périmètre traditionnel, l'identité devient le principal moyen d'établir la confiance. "L'identité est le nouveau périmètre : c'est la seule chose que vous pouvez contrôler et sécuriser", a déclaré M. Taylor. "Si je peux déterminer avec un haut degré de confiance que vous êtes qui vous prétendez être, je peux vous authentifier et vous autoriser. La capacité à faire confiance à l'identité de quelqu'un ou de quelque chose permet de baser la politique de sécurité sur l'identité".
Bien sûr, l’idée d’utiliser l’identité pour instaurer la confiance n’est pas nouvelle. Mais le contexte dans lequel s’inscrit cette confiance a évolué de telle sorte que l’identité revêt aujourd’hui une importance plus cruciale que jamais. De plus en plus, la main-d’œuvre ne se compose plus uniquement d’employés à temps plein travaillant sur site, mais aussi de prestataires, de travailleurs indépendants et de nombreux autres profils qui ont besoin d’accéder à des ressources — et pas seulement sur site. Aujourd’hui, les interactions se font dans une telle mesure par voie numérique et en ligne que la localisation physique d’une personne n’est plus un élément fondamental pour établir la confiance. Ces changements expliquent pourquoi le modèle « Zero Trust » est si pertinent aujourd’hui et pourquoi l’identité revêt une importance cruciale.
L'identité ouvre la voie au modèle « Zero Trust » de trois manières précises.
- Permet d'accéder aux bonnes personnes. La capacité à établir le niveau de confiance adéquat avant d'accorder un accès est essentielle pour adopter une approche « Zero Trust ». Pour mettre en œuvre cette approche, vous devez disposer de fonctionnalités de gestion des identités et des accès comprenant toute une gamme de méthodes d'authentification multifactorielle (MFA), ainsi que d'une gouvernance et d'une administration des identités (IGA) robustes, afin de permettre une autorisation d'accès fondée sur la gouvernance et axée sur la visibilité.
- Soutien à la prise de décision dynamique. Pour mettre en œuvre avec succès une approche « Zero Trust » en matière d'accès, il faut être capable d'utiliser le contexte pour évaluer le risque associé à une interaction donnée, puis de prendre des décisions d'accès en fonction du niveau de risque. Une approche « Zero Trust » nécessite une prise de décision dynamique basée sur le contexte ; il est donc important de pouvoir appliquer une authentification basée sur le risque.
- Conforme au cadre architectural « Zero Trust » du NIST. L'Institut national des normes et des technologies (NIST) a élaboré un cadre pour une architecture « Zero Trust ». Les composants liés à l'identité et à l'accès, qui intègrent les analyses basées sur les risques exigées par le NIST ainsi qu'un accès fondé sur les rôles et les attributs, sont essentiels pour fonctionner dans le cadre défini par le NIST.
Toute approche visant à sécuriser l’accès, y compris le « Zero Trust », repose sur un double objectif : empêcher les personnes malveillantes d’entrer et autoriser les personnes bien intentionnées à entrer. Si vous vous concentrez exclusivement sur la défense et que vous ne laissez personne entrer, vous prenez peu de risques, mais vous perdez également une grande partie de votre activité. Le terme « Zero Trust » ne signifie pas qu’il ne faut jamais faire confiance à personne. Il signifie qu’il ne faut pas faire confiance à quelqu’un sans avoir d’abord vérifié qu’il est digne de confiance. Et l’identité est essentielle pour s’assurer qu’une personne ou une entité est digne de confiance. Avec les bons outils de gestion des identités, vous pouvez adopter avec succès une approche « Zero Trust » pour gérer les accès et prospérer dans le monde numérique.
En savoir plus sur le programme exclusif de RSA l'accent mis sur l'identité dès aujourd'hui, et découvrez-en davantage sur le modèle « Zero Trust » avec RSA :
- Télécharger le Guide de mise en œuvre du programme Zero Trust de Forrester
- Découvrez comment RSA s'attaque Confiance zéro défis
- En savoir plus sur l'ASR produits qui prennent en charge le modèle « Zero Trust »