Ces dernières années, les ransomwares et les violations de données ont causé d'énormes perturbations aux organisations et aux gouvernements. Alors que les entreprises conduisent la transformation numérique et déplacent leurs opérations vers le cloud, elles s'appuient de plus en plus sur un modèle de confiance zéro pour créer une infrastructure réseau résiliente et sécurisée. Les entreprises ont-elles besoin d'un Chief Zero Trust Officer ?
Établi en tant que convergence basée sur le cloud des services d'accès réseau et de sécurité, Secure Access Service Edge est une approche courante pour l'adoption du Zero Trust en entreprise. Le défi, cependant, est que dans de nombreuses organisations, la responsabilité de la mise en réseau et de la sécurité réside dans différentes parties de l'entreprise, et ces groupes utilisent souvent différents fournisseurs dans leurs domaines respectifs. Pour mettre en œuvre Zero Trust dans les grandes organisations, il est essentiel de briser les silos entre les équipes de sécurité et de réseau et de sélectionner les bons outils, produits et fournisseurs en fonction des résultats commerciaux souhaités.
Zero Trust Officers pour l'entreprise
Lorsque les organisations doivent agir rapidement et dépasser les limites organisationnelles, elles nomment souvent un responsable pour prendre en charge un programme spécifique et le mener jusqu'à sa mise en œuvre ou son exécution. Alors que la pression pour mettre en œuvre Zero Trust monte, je m'attends à ce que le rôle de Chief Zero Trust Officer émerge dans certaines grandes organisations. Cette personne sera le responsable Zero Trust de l'entreprise et sera chargée de faire évoluer l'entreprise vers Zero Trust. Votre travail consistera à rassembler des organisations et des fournisseurs disparates et à vous assurer que toutes les équipes et tous les départements sont sur la même page et travaillent vers un objectif commun.
En cas de résistance, l'agent Zero Trust devrait avoir le soutien de la haute direction (CIO, CISO, PDG, conseil d'administration) pour prendre des décisions rapides et franchir les frontières organisationnelles pour faire avancer le processus. Que le titre de Chief Zero Trust Officer devienne une réalité ou non, une personne autonome avec un mandat et une orientation clairs peut être la clé du succès de Zero Trust en 2023.
Mots de passe alphanumériques de la passerelle
Les attaques de phishing continuent d'être un problème majeur pour les entreprises du monde entier. Malheureusement, la plupart des cyberattaques commencent par un e-mail de phishing. L'authentification avec nom d'utilisateur et mot de passe n'est plus suffisante, même en combinaison avec les formes courantes d'authentification multifacteur. Même avec une formation régulière de sensibilisation à la sécurité, les utilisateurs finiront par cliquer sur le mauvais lien et seront victimes d'une attaque.
Les entreprises peuvent déjà activer des clés de sécurité conformes à FIDO2 plus solides ainsi qu'un accès zéro confiance lorsqu'elles utilisent un système comme celui de Cloudflare, ce qui rend la tâche beaucoup plus difficile pour les attaquants. Soulager complètement l'utilisateur final de ce fardeau peut être le meilleur moyen de protéger la plupart des utilisateurs et leurs identifiants de connexion. L'Alliance FIDO prévoit que vous pouvez vous connecter n'importe où sans mot de passe. La connexion par reconnaissance faciale ou par empreinte digitale est utilisée à la place de l'ancienne combinaison nom d'utilisateur/mot de passe. Une clé de connexion FIDO, parfois appelée "passkey", facilite la tâche des utilisateurs et la rend plus difficile pour les attaquants. S'il n'y a pas de mot de passe à voler, les pirates ne peuvent pas voler les informations d'identification pour leurs attaques. Nous prévoyons que d'ici 2023, de nombreux sites Web et applications adopteront une connexion sans mot de passe à l'aide de la norme Passkey de l'Alliance FIDO.
Cloud contre conformité
Les gouvernements du monde entier introduisent de nouvelles réglementations en matière de confidentialité. En Europe, le règlement général sur la protection des données (RGPD), entré en vigueur en 2018, donne aux individus plus de contrôle sur leurs données personnelles et leur utilisation. D'autres pays suivent cet exemple et utilisent le RGPD comme modèle. Aux États-Unis, cinq États ont adopté de nouvelles lois sur la protection des consommateurs qui entreront en vigueur en 2023, et d'autres États envisagent de légiférer. Au niveau fédéral également, les législateurs adoptent lentement leurs propres réglementations en matière de confidentialité avec l'American Data and Privacy Protection Act (« ADPPA »), une loi sur la confidentialité en ligne conçue pour réglementer la collecte et le stockage des informations des consommateurs. Les entreprises doivent désormais comprendre et respecter ce patchwork de réglementations dans le cadre de leurs activités commerciales à l'échelle mondiale. Comment les entreprises peuvent-elles rester à jour et intégrer la conformité dans leurs applications et leurs systèmes informatiques ?
Nous pensons que la plupart des services cloud auront bientôt des fonctionnalités de conformité intégrées. Le cloud lui-même devrait soulager les entreprises du fardeau de la conformité. Les développeurs ne devraient pas avoir besoin de savoir exactement comment et où leurs données peuvent être légalement stockées ou traitées. Une grande partie du fardeau de la conformité doit être assumée par les services et outils cloud avec lesquels les développeurs travaillent. Les services réseau garantissent que le trafic de données est transmis de manière efficace et sécurisée, conformément à toutes les lois sur la souveraineté des données. Les services de stockage, en revanche, doivent être conformes aux réglementations en matière de conservation des données dès le départ. Le traitement doit être conforme aux normes de localisation des données pertinentes.
navigateur distant
Les politiques de sécurité, les lois et réglementations sur la confidentialité exigent des organisations qu'elles protègent leurs données sensibles, depuis leur stockage et leur traitement jusqu'à leur utilisation par l'utilisateur final dans leurs applications. Dans le passé, il était relativement facile de contrôler entièrement les appareils des utilisateurs finaux, car ils étaient souvent émis par l'entreprise et destinés à un usage professionnel uniquement. Cependant, ces dernières années - et avec l'utilisation croissante des smartphones et tablettes personnels - la tendance BYOD (bring-your-own-device) a pris de l'ampleur et a été encore plus adoptée au cours des différentes phases de la pandémie mondiale.
Nous nous attendons à ce que la tendance BYOD revienne dans le sens d'une sécurité plus stricte et d'un contrôle accru par l'organisation informatique. La nécessité d'appliquer systématiquement des politiques de sécurité et des contrôles de confidentialité commencera à l'emporter sur le sentiment d'urgence et la demande de commodité que nous avons connus au cours des dernières années. Cependant, comme une grande partie de notre vie numérique se déroule dans un navigateur Web, ce contrôle peut prendre une forme différente de celle qu'il a eue par le passé.
Apportez votre propre navigateur
L'isolation du navigateur est une technologie intelligente qui assure essentiellement la sécurité grâce à l'isolation physique. Cette technique crée un « fossé » entre le navigateur Web d'un utilisateur et l'appareil final, protégeant l'appareil (et le réseau d'entreprise) des attaques. L'isolation du navigateur à distance (RBI) va encore plus loin en déchargeant le navigateur sur un service distant dans le cloud. La navigation à distance basée sur le cloud isole l'appareil de l'utilisateur final du réseau de l'entreprise tout en permettant des solutions de contrôle informatique et de conformité.
Certains disent que "le navigateur est l'appareil" avec ce modèle de navigation à distance. Au lieu de BYOD, il pourrait être approprié d'appeler cela "BYOB" ou "Bring Your Own Browser". La plupart des organisations s'efforcent de mieux équilibrer les besoins de sécurité et de confidentialité de l'entreprise avec la facilité d'utilisation et le confort des employés. Chez Cloudflare, nous utilisons l'isolement de notre navigateur distant conjointement avec l'accès Zero Trust pour protéger nos utilisateurs et nos appareils. Il est totalement transparent pour les utilisateurs et établit un équilibre parfait entre sécurité et facilité d'utilisation. Nous pensons que l'isolement du navigateur à distance deviendra courant une fois que les responsables informatiques auront compris les avantages et à quel point cela fonctionne réellement.
Plus sur Cloudflare.com
À propos de Cloudflare Cloudflare vise à améliorer Internet. La suite de produits Cloudflare protège et accélère toute application Internet sans ajouter de matériel, installer de logiciel ou modifier une ligne de code. Pour les sites Web alimentés par Cloudflare, tout le trafic est acheminé via un réseau mondial intelligent qui apprend à chaque demande. Le résultat est une amélioration des performances et une réduction des spams et autres attaques.
Articles liés au sujet