Les façons possibles dont l’architecture Zero Trust est la plus susceptible d’échouer
L’architecture Zero Trust est souvent considérée comme la méthode ultime et infaillible de mise en œuvre de la sécurité de l’information.
Elle est apparue comme une solution tout-en-un à plusieurs problèmes de sécurité, en particulier à mesure que les organisations adoptaient rapidement des infrastructures basées sur le cloud, DevOps et IoT.
Le modèle de sécurité nécessite la création de segmentation et de périmètres réseau pour assurer la sécurité de l’information.
Il redéfinit le cadre architectural au sein d’un réseau prédéfini et crée un modèle d’évaluation continue de la confiance et de l’authentification pour l’accès aux informations sensibles.
Cela implique qu’aucun utilisateur ne doit être entièrement fiable même s’il fait partie du réseau, car tout le monde est suffisamment vulnérable pour être compromis.
Par conséquent, l’utilisateur doit passer par l’identification et la vérification dans tout le réseau au lieu de simplement aux périmètres.
Les experts en sécurité considèrent l’architecture Zero Trust comme le modèle de sécurité ultime pour prévenir les dangers du piratage et des menaces internes.
Cependant, plusieurs défis liés à la mise en œuvre de l’architecture Zero Trust peuvent également être considérés comme des failles que les acteurs de la menace peuvent exploiter.
Mettre en œuvre le modèle Zero Trust - Qu’est-ce que cela nécessite?
La mise en œuvre du modèle Zero Trust dans une organisation va au-delà du simple changement de mentalité et de la mise en place de contrôles de données. Les équipes de sécurité informatique doivent cartographier et analyser l’architecture complète du flux de travail de l’organisation tout en examinant des choses comme:
- Les fonctions de chaque département
- Les logiciels actuellement utilisés
- Les méthodologies de stockage et de transfert d’informations
- Les différents niveaux d’accès
- Les appareils courants
Une analyse de ces composants permet aux équipes de sécurité de définir les périmètres réseau et les contrôles d’accès qu’elles doivent intégrer.
Pour assurer le bon fonctionnement des événements commerciaux pendant ces questions, la plupart des équipes envisagent de construire un modèle de sécurité à partir de zéro plutôt que d’ajuster celui qui existe déjà.
Les équipes de sécurité doivent élaborer une stratégie étape par étape pour construire une excellente infrastructure de sécurité finale avec une marge pour des modifications cohérentes. Lors de la mise en œuvre de l’architecture Zero Trust, les éléments clés sur lesquels les équipes de sécurité se concentrent souvent sont:
Créer une micro-segmentation
L’architecture Zero Trust repose sur la micro-segmentation. Cela implique de diviser la structure du réseau de sécurité en petites zones avec un accès séparé à chaque partie.
Par exemple, une micro-segmentation d’un réseau de stockage d’informations peut contenir plusieurs zones avec des points d’accès dédiés. Chaque point d’accès a une méthode d’authentification indépendante afin que seules les personnes ou les programmes demandés y aient accès.
Mettre en œuvre l’authentification multi-facteurs
L’authentification multi-facteurs est un autre élément crucial sur lequel repose une partie importante de l’architecture Zero Trust.
MFA est un modèle de sécurité multi-facteurs nécessitant plus d’une méthode d’authentification, telle que des codes PIN et des authentifications biométriques.
La mise en œuvre correcte du MFA représente avec précision les fondements de l’architecture Zero Trust: “ne jamais faire confiance, toujours vérifier”.
Sécuriser tous les points d’extrémité du réseau
En ce qui concerne Zero Trust, les appareils ne font pas exception aux règles, c’est pourquoi il est préférable de mettre en œuvre des méthodes de sécurité centrées sur l’identité même aux points d’extrémité.
Cela signifie qu’un appareil qui devient une partie du réseau d’entreprise doit d’abord être intégré dans l’architecture Zero Trust pour passer par le processus de reconnaissance et de vérification.
Pratiquer le principe du moindre privilège
Le principe du moindre privilège ou PoLP est la pratique consistant à limiter l’accès aux applications, données, systèmes, processus et appareils aux seuls utilisateurs autorisés.
Les utilisateurs sous les principes PoLP ont accès à une ressource ou information particulière si leur travail l’exige. Cela limite les chances de vol de données et de violations.
Problèmes principaux avec l’architecture Zero Trust
Le modèle de sécurité Zero Trust aide à construire un cadre de sécurité robuste au sein des organisations. De plus, avec la récente montée en puissance des hybrides menant au stockage en nuage et aux transferts de fichiers, le modèle de sécurité Zero Trust aide à garantir la sécurité des données.
Cependant, il existe plusieurs obstacles à la mise en œuvre et à l’exécution correcte de l’architecture de sécurité Zero Trust, qui pourraient finalement entraîner l’échec du modèle. Certains de ces problèmes sont les suivants:
Faire face à la dette technique et aux systèmes hérités
La plupart des organisations ne sont pas structurées pour être micro-segmentées. Lors de la mise en œuvre du modèle Zero Trust, les organisations doivent tenir compte des opérations du moindre privilège, qui impliquent d’identifier et de diviser les données sensibles en zones respectives.
Pour cela, ils doivent analyser les données disponibles, comprendre leurs flux puis essayer de construire un modèle de sécurité grâce à la micro-segmentation, ce qui peut être stressant et coûteux.
Que ce soit en concevant à partir de zéro ou d’un modèle de sécurité réseau préexistant, il reste une possibilité de fissures dans le cadre architectural laissant place à d’autres cyberattaques.
De plus, le modèle Zero Trust nécessite plusieurs niveaux d’authentification et d’autorisation. Le “ne jamais faire confiance toujours authentifier” semble très professionnel en théorie; cependant, il nécessite que tous les acteurs passent par une vérification pour accéder à l’intérieur de la mise en œuvre.
Bien que cela puisse être efficace, les systèmes d’organisations définis ne sont pas bien équipés pour gérer ce contrôle d’accès en raison de l’absence d’état d’esprit du moindre privilège.
Le défi Peer-to-Peer
Les méthodes d’échange et de communication d’informations Peer-to-Peer ou P2P sont utilisées depuis longtemps en raison de leur efficacité et de leur facilité.
Cependant, la méthode P2P communique via une méthode décentralisée sans micro-segmentation, ce qui va de pair avec le modèle de sécurité Zero Trust. Ils partagent des informations avec peu ou pas de vérification.
Cette communication P2P est présente dans la plupart des systèmes d’exploitation et des réseaux maillés sans fil tels que Windows qui font couramment partie de l’organisation. Par conséquent, mettre en œuvre Zero Trust avec eux est un défi.
Devenir centré sur les données
La plupart des organisations ont un cadre traditionnel contenant des silos de données, un mélange de données sensibles et moins sensibles.
Comme les organisations ne suivaient pas l’état d’esprit du moindre privilège, la combinaison de ces données semblait pratique avec toutes les informations partagées avec tout le monde indépendamment de leurs besoins.
Mettre en œuvre une architecture Zero Trust dans un état frénétique d’information serait difficile.
Analyser et mettre en œuvre la vérification et le contrôle d’accès pourrait s’avérer coûteux et nécessiter une architecture plus importante qui serait trop complexe à construire.
Mots finaux: Le modèle Zero Trust est-il efficace ou inefficace?
Malgré ses défis, le modèle Zero Trust est le modèle idéal pour résister aux défis du vol de données et des menaces internes.
Il permet une sécurité robuste et aide à assurer la protection contre certains des principaux défis de la cybersécurité auxquels les organisations sont confrontées aujourd’hui.
Par conséquent, un rejet complet de l’architecture Zero Trust serait inutile.
La meilleure approche consiste à garantir la sécurité en mettant en œuvre et en intégrant correctement le modèle avec d’autres pratiques de cybersécurité.