On Oz
Zero Trust : penser la sécurité autrement
06/10/2019

Zero Trust : penser la sécurité autrement

Imaginé par Google, le modèle de sécurité Zero Trust prend le contre-pied des habitudes courantes : le réseau « privé » n’existe plus, et tout est accessible de partout. De quoi donner des sueurs froides aux responsables de la sécurité, peu habitués à une telle ouverture…

Mais derrière son aspect radical, le modèle Zéro Trust cache en réalité une solide proposition pour amener la sécurité de l’entreprise à l’ère du Cloud.

Alors que l’approche historique de la sécurité des entreprises est encore très marquée par la notion de périmètre (d’un côté le réseau « interne », de confiance, et de l’autre « tout le reste », dont Internet), l’approche Zero Trust considère qu’il n’existe plus de zone de confiance. Tout est public, et il faut s’y adapter. « Cette approche est poussée par deux tendances de fond : la mobilité des utilisateurs et l'émergence du Cloud. Dans les deux cas, les concepts traditionnels du réseau privé et de la sécurité périmétrique ne fonctionnent plus », observe Ivan Rogissart, Directeur avant-vente pour l’Europe du Sud chez zScaler.

 

En effet, comment et pourquoi faire la différence entre un collaborateur situé au bureau, en télétravail ou en déplacement depuis son hôtel, lorsque l’application à laquelle il tente d’accéder est elle-même dans le Cloud ? « Le zéro Trust doit permettre d’unifier la sécurité des applications internes et externes, à l’heure ou justement cette différence devient de plus en plus marginale », précise Arnaud Lemaire, Directeur technique chez F5.

 

« Le postulat de base du modèle Zero Trust est que le réseau lui-même ne pouvant pas être toujours de confiance, alors il ne doit jamais l’être », complète Ivan Rogissart.

 

Pour cela, le modèle propose de créer une couche logique de confiance au-dessus du réseau lui-même (quel qu’il soit : 4G, WiFi, dans l’entreprise, sur Internet, peu importe). C’est cette couche - totalement maîtrisée par l’entreprise - qui s’assurera l’authentification des utilisateurs et la confidentialité des données.

 

Pour Arnaud Lemaire, « l’idée n’est clairement pas de remettre en cause la confiance accordée aux utilisateurs, mais au contraire de leur donner plus de liberté dans la manière dont ils utilisent les applications, tout en préservant la sécurité ». Premier bénéfice : plus besoin de VPN pour accéder aux applications !

 

Le modèle Zero-Trust est mis en œuvre chez Google depuis 2013… et bientôt près de chez vous !

Nos autres billets d'humeur...
09/10/2019

Cybersécurité : l’heure de la concorde public-privé ?

La cybersécurité a pour particularité qu’elle ne fait pas grande distinction entre les besoins de protection des entreprises et ceux des intérêts vitaux de la Nation. Les uns on...

06/10/2019

Comptes à privilèges : l’incroyable oubli !

On pourrait imaginer que les comptes utilisateurs qui donnent accès aux systèmes les plus sensibles de l’entreprise sont les mieux protégés. Hélas, c’est loin d’être toujours le...

06/10/2019

Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC

Face à l’augmentation du nombre d’incidents à traiter et à la difficulté à recruter des profils experts en nombre suffisant, les SOC doivent se tourner vers d’autres stratégies...

06/10/2019

Office 365 : nouvelle cible préférée des pirates ?

De tout temps, les criminels ont suivi les évolutions de leurs victimes. Aujourd’hui, alors que les entreprises migrent massivement vers le Cloud public en général et vers l’off...

06/10/2019

L’espionnage : un risque à prendre à compte pour les entreprises

Alors que les attaques par rançongiciel ou les escroqueries purement financières font la Une de l’actualité, le risque d’espionnage, par nature moins visible, a parfois du mal à...

06/10/2019

Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure

Si jadis les trois ne se parlaient pas vraiment, il est désormais indispensable d’associer la sécurité aux développeurs et aux exploitants de l’infrastructure pour assurer une m...

06/10/2019

Attaques ciblées : quand les cybercriminels se professionnalisent

La montée en gamme des attaquants se traduit par des attaques plus ciblées, plus discrètes, motivées par un gain financier et conduites par des attaquants de très bon niveau.

06/10/2019

Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer

L’attaquant doit mener toute une série d’actions pour conduire son opération. Un équipementier de défense américain, Lockheed Martin, a modélisé cette séquence afin de mieux com...