.png)
La confiance zéro devient rapidement l'approche de référence en matière de cybersécurité pour les organisations, mais ce n'est toujours pas une solution miracle. Bien que le concept fondamental de la confiance zéro existe depuis longtemps, ces dernières années ont été marquées par un nombre croissant de réflexions sur la façon de le mettre en œuvre, ainsi que par un paysage de menaces de plus en plus complexe et en constante évolution, l'infrastructure informatique des entreprises étant devenue plus diffuse par le biais de… l'adoption du cloud et outils de travail à distance.
Par conséquent, la confiance zéro s'accompagne aujourd'hui d'un argumentaire convaincant : En se concentrant sur les actifs de l'entreprise (en particulier les données) plutôt que sur le seul périmètre, les équipes de sécurité peuvent s'efforcer de garantir que les actifs sont protégés proportionnellement à leur valeur commerciale et aux risques, ce qui permet de mieux hiérarchiser les dépenses et les investissements en matière de sécurité.
Cela signifie bien sûr que la valeur commerciale et le risque sont communiqués dans le même langage (c'est-à-dire dans la même devise) pour permettre des comparaisons efficaces, ce qui met en évidence la nécessité de la quantification des cyber-risques (CRQ), telle que la méthodologie Open FAIR™.
Tout cela est, dans un sens étroit, parfaitement vrai. Cependant, le problème survient lorsque le caractère persuasif de ce discours et la fréquence à laquelle il est répété par les professionnels du secteur et les fournisseurs donnent aux organisations un faux sentiment de sécurité.
La vérité est qu'aucune stratégie, qu'elle soit basée sur la confiance zéro ou sur toute autre approche, ne sera couronnée de succès 100 % du temps. Les violations se produiront ; les équipes qui partent de ce principe seront probablement bien mieux placées pour réagir que celles qui ne le font pas.
Repenser le succès
Cependant, ce simple fait soulève une question sérieuse : Si la mise en œuvre réussie de la confiance zéro ne signifie pas une protection absolue contre les attaques – et si les équipes ne devraient pas se fixer comme objectif une protection absolue – comment devraient-elles définir et mesurer ce à quoi ressemble une mise en œuvre réussie ?
Lorsqu'elle est bien appliquée, la confiance zéro renforce la posture de sécurité d'une organisation, en réduisant le rayon d'action des brèches inévitables. Cela signifie que même si une brèche est réussie, l'impact de cette brèche sera localisé et ne pourra pas se propager.
La confiance zéro peut échouer de plusieurs façons, qui vont au-delà de la question de l'excès de confiance. Par exemple, les utilisateurs ont été formés pendant longtemps, tant par les entreprises que par les technologies grand public, à travailler et à penser en termes d'approches traditionnelles de la sécurité. S'ils sont surpris par une nouvelle exigence de contrôles d'identité continus, plutôt que par une seule poignée de main au périmètre de sécurité, il peut en résulter de la frustration et, en fin de compte, une non-conformité qui sape entièrement tout protocole de sécurité.
De même, l'intégration d'un cadre de confiance zéro dans une suite existante d'outils et de processus de sécurité peut nécessiter de retravailler et de reconfigurer l'approche en place. Certains outils resteront en place, étant complétés ou améliorés par des solutions Zero Trust, tandis que d'autres pourront être supprimés ou remplacés. Comprendre lequel est lequel et agir en conséquence peut représenter un investissement important et nécessite l'adhésion rapide des chefs d'entreprise, car un processus partiel peut aboutir à une posture de cybersécurité plus vulnérable que celle avec laquelle l'organisation a commencé.
Toute initiative Zero Trust doit également être préparée à faire appel à l'ensemble des talents nécessaires pour la concevoir, la mettre en œuvre et la gérer de manière appropriée. Au-delà de l'orientation stratégique définie par les responsables de la sécurité, le processus nécessitera la contribution d'architectes d'entreprise et d'architectes de la sécurité spécialisés qui savent comment vérifier la pertinence des offres des fournisseurs et traduire ces capacités dans le domaine technique de l'organisation et dans les hypothèses culturelles et les méthodes de travail des employés.
L'excès de confiance, le comportement des utilisateurs, l'adhésion des dirigeants, les compétences et les talents : tout cela revient à définir ce que signifie le succès pour Zero Trust avant la mise en œuvre. Avec une idée claire de la destination et une compréhension du voyage nécessaire, les organisations peuvent planifier les défaillances de sécurité, les modes de travail modernes, les calendriers de transformation et la prise de décisions bien informées.
Les bons intrants pour une sortie réussie
Bien que les vendeurs et les professionnels puissent exprimer des idées différentes sur ce à quoi ressemble une “bonne” confiance zéro, les organisations peuvent se tourner vers des sources neutres comme le NIST® SP 800-207 et les “commandements de la confiance zéro” de The Open Groupqui abordent le sujet avec le niveau de granularité dont les praticiens ont besoin pour prendre des décisions éclairées sur la mise en œuvre de la confiance zéro.
Par exemple, si l'on se concentre uniquement sur les pièges possibles évoqués ci-dessus, les commandements de la confiance zéro établissent une base pour que les équipes de sécurité ” assument l'échec et assument le succès “, ce qui signifie que les brèches sont inévitables (si elles ne se sont pas déjà produites) et que l'organisation peut s'en remettre et s'en remettra.
Les commandements préconisent de ” Permettre un travail moderne “, en soutenant un comportement productif qui est également sécurisé et qui n'entrave pas inutilement la productivité. Les commandements encouragent également à considérer la sécurité comme un “voyage continu” avec un investissement initial qui peut entraîner des perturbations, mais qui se traduira par des améliorations qui en valent la peine. Enfin, ils stipulent que les équipes de sécurité doivent “prendre des décisions éclairées” sur la base des meilleures informations disponibles.
Il ne s'agit là que de quelques détails des commandements de la confiance zéro ; pris collectivement, ces commandements – et d'autres documents de normes neutres – peuvent faire avancer les organisations sur la voie d'une mise en œuvre véritablement réussie de l'architecture de confiance zéro dès le premier jour.
John Linford est Sécurité & ; Directeur du Forum OTTF à The Open Group
Tu pourrais aussi lire :
PAM, IAM ou les deux ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
