Pour lutter contre les nouveaux risques associés à la méthode de travail hybride actuelle, de nombreux responsables et fournisseurs de cybersécurité ont maintenant découvert « Zero Trust » : ce cadre vise à renforcer la sécurité dans l'environnement informatique tout en augmentant la productivité de l'ensemble de l'entreprise. augmenter.
La façon dont les gens travaillent a radicalement changé au cours de la dernière décennie. Les employés des entreprises travaillent aujourd'hui de n'importe où, en utilisant des appareils et des réseaux qui ne sont plus directement sous leur contrôle, pour accéder aux ressources de l'entreprise dans le cloud. Bien que cela ait considérablement augmenté la productivité, cela a également rendu beaucoup plus difficile la protection des entreprises. Cependant, mettre cela en pratique n'est pas sans poser de problèmes, car il n'existe pas de définition unique de la confiance zéro.
Approche de sécurité actuelle
Certains entendent dire que l'authentification multifacteur (MFA) devrait être suffisante, tandis que d'autres solutions vont plus loin et nécessitent un "accès le moins privilégié".
D'une manière générale, la confiance zéro est l'idée que tout objet, interne ou externe, doit être périodiquement authentifié et évalué avant de se voir accorder l'accès. Lorsque la majorité des utilisateurs, des appareils, des applications et des données ne se trouvent plus dans un périmètre de sécurité donné, il ne peut plus y avoir de présomption ferme qu'un utilisateur ou son appareil doit être digne de confiance.
Au milieu des complexités qui accompagnent l'adoption de technologies telles que le cloud et le travail de n'importe où, il est compliqué pour les autorités de sécurité de savoir par où commencer - et cela inclut Zero Trust. Mais vous devez d'abord réfléchir à ce qui est important pour votre propre entreprise. L'utilisation d'une solution de détection et de réponse aux terminaux protège vos données contre les risques liés aux terminaux. Il en va de même pour la sécurité du cloud : vous protégez vos données dans le cloud contre les accès et les attaques risqués ou malveillants. En d'autres termes, pour utiliser efficacement Zero Trust, vous devez vous concentrer sur tous les vecteurs dans lesquels vos données sont intégrées.
données comme point de départ
Lorsque la plupart des organisations adoptent pour la première fois Zero Trust, elles essaient de se concentrer sur la façon dont les employés font leur travail, par exemple en exigeant que les employés utilisent des réseaux privés virtuels (VPN) avec un deuxième facteur d'authentification, lorsqu'ils accèdent aux ressources de l'entreprise. En revanche, cependant, je pense que l'accent ne devrait pas être mis sur ce qu'il faut (ne pas) faire, mais sur les données.
Les employés créent et modifient constamment des données. L'objectif final d'un attaquant sur l'informatique d'entreprise étant de voler des données, il ne suffit plus d'authentifier un utilisateur au moment de l'accès. Au lieu de cela, vous devez vous concentrer sur les types de données que vous possédez, comment elles sont accessibles et comment elles sont manipulées. Il est également important de garder à l'esprit les niveaux de risque en constante évolution des utilisateurs et des appareils qu'ils utilisent.
Fixer des priorités
Les données sont partout. Les employés créent des données chaque jour, qu'il s'agisse de les échanger par e-mail, de copier et coller du contenu dans une application de messagerie, de créer un nouveau document ou de le télécharger sur leur smartphone. Toutes ces activités créent et manipulent des données, et chacune a son propre cycle de vie. Il serait extrêmement fastidieux de garder une trace de l'emplacement de toutes ces données et de la manière dont elles sont traitées.
La première étape de la mise en œuvre de Zero Trust Security consiste à classer vos données par niveaux de sensibilité afin de pouvoir hiérarchiser les données nécessitant une protection supplémentaire. Zero Trust peut être un processus sans fin car vous pouvez l'appliquer à n'importe quoi. Au lieu d'essayer de créer une stratégie de confiance zéro à l'échelle de l'entreprise pour toutes les données, concentrez-vous sur les applications les plus importantes qui contiennent les données les plus sensibles.
accès aux données
La prochaine chose à examiner est la façon dont les données sont partagées au sein de l'organisation et comment elles sont accessibles. Les employés partagent-ils principalement des données via le cloud ? Ou les documents et informations sont-ils envoyés par e-mail ou Slack ?
Il est essentiel de comprendre comment les informations circulent dans l'organisation. Si vous ne comprenez pas d'abord comment les données se déplacent, vous ne pouvez pas les protéger efficacement. Par exemple, si un dossier commun dans le cloud de l'entreprise contient plusieurs sous-dossiers, dont certains sont protégés, cela semble être une méthode sécurisée. Et c'est tout jusqu'à ce que quelqu'un partage le dossier principal avec un autre groupe de travail et ne se rende pas compte que cela modifie les paramètres d'accès aux sous-dossiers privés. En conséquence, vos données privées sont désormais accessibles à un grand nombre de personnes qui ne devraient pas y avoir accès.
Pas de solution prête à l'emploi
Tout le monde a probablement entendu la phrase : "Il y a une application pour ça !". Et en général c'est vrai. Il semble y avoir une application ou une solution logicielle pour chaque problème moderne de nos jours. En revanche, vous pouvez voir que ce n'est pas le cas avec Zero Trust. Cependant, de nombreux fournisseurs souhaitent vendre leurs produits en tant que soi-disant «solutions» pour la mise en œuvre de la sécurité des données Zero Trust. Mais cette méthode de simulation ne fonctionne tout simplement pas.
Essentiellement, Zero Trust est un état d'esprit et une philosophie, mais ne doit pas être confondu avec un problème qui peut être résolu par un logiciel. Si vous avez l'intention d'adopter Zero Trust comme méthode de sécurité dans votre organisation, vous devez comprendre comment cette approche fonctionne et comment la mettre en œuvre de manière fiable dans toute votre organisation.
Le rôle des salariés
La deuxième partie de la mise en œuvre des données de confiance zéro consiste à impliquer vos employés. Vous pouvez acheter des logiciels et des solutions existants et définir des règles, mais si vos employés ne comprennent pas ce que vous faites ou pourquoi vous devriez utiliser quelque chose, vous mettez en péril vos progrès et votre succès et exposez probablement vos données à certains risques.
Lors de la conférence RSA 2022, un de mes collègues a mené une enquête et a constaté que 80 % des participants utilisent encore une feuille de calcul traditionnelle pour enregistrer et calculer leurs données. Et selon une enquête de 2021, seuls 22 % des utilisateurs de Microsoft Azure utilisent MFA. Ces chiffres suggèrent que vous devriez commencer avec vos employés dès le départ. Et vous devez leur expliquer l'importance de la sécurité des données et comment la mettre en pratique sur vos propres appareils.
Zero Trust n'est pas un produit
L'une des choses les plus importantes à retenir lors de la mise en œuvre de la sécurité Zero Trust dans votre organisation est qu'il s'agit d'une philosophie et non d'une simple solution. Zero Trust n'est pas quelque chose que vous pouvez installer du jour au lendemain. Et ce n'est pas un logiciel prêt à l'emploi que vous pouvez acheter quelque part pour résoudre tous les problèmes à la fois. La confiance zéro est plus une idée fondamentale qui doit être mise en œuvre sur le long terme.
Avant d'investir dans une solution unique qui ne fonctionne tout simplement pas, il est important de mieux connaître vos données existantes et de comprendre quelles données particulièrement sensibles doivent être priorisées et protégées. Il s'agit aussi de savoir comment les traiter en détail pour se concentrer ensuite sur la formation et le perfectionnement de ses collaborateurs. "Zero Trust" semble être une excellente idée, mais sa mise en œuvre ne fonctionne que si vous comprenez qu'il s'agit d'une sorte de philosophie ou de cadre qui doit être mis en place par étapes et continuellement amélioré - et pas seulement une solution unique et fixe.
Plus sur Lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.
Articles liés au sujet