Oracle Cloud Free Tier

Créez, testez et déployez vos applications sur Oracle Cloud, gratuitement.

Confiance zéro

Modèle de sécurité à confiance zéro

La confiance zéro est une approche de la sécurité informatique visant à assurer la sécurité des données sensibles tout en respectant les nouvelles réglementations en matière de protection de la vie privée. L'expansion rapide de l'utilisation des services cloud crée également un nouveau risque de compromission ou de vol des informations d'identification d'un administrateur ou d'une application privilégiée. En outre, cela peut ouvrir la voie au vol de données et à la cybercriminalité, car les contrôles de sécurité efficaces ne sont souvent envisagés qu'après coup. La confiance zéro permet aux entreprises de réglementer l'accès aux systèmes, aux réseaux et aux données sans renoncer au contrôle. C'est pourquoi le nombre d'entreprises qui passent à un modèle de sécurité à confiance zéro (c'est-à-dire ne faisant confiance à personne) est en augmentation, afin que les entreprises puissent protéger les données grâce à des contrôles de sécurité qui limitent l'accès aux données en fonction d'une politique spécifique.

Vidéo : modèle de sécurité zéro confiance


Qu'est-ce qu'une approche à confiance zéro ?

Une posture de sécurité réseau standard est axée sur l'arrêt des menaces provenant de l'extérieur du périmètre du réseau, mais peut laisser les données vulnérables au vol à l'intérieur du réseau. Cette approche fait appel à des pare-feu, des VPN, des contrôles d'accès, des IDS, des IPS, des SIEM et des passerelles de messagerie, avec une sécurité sur le périmètre que les cybercriminels savent maintenant comment violer. Cela signifie qu'une personne disposant des informations d'identification correctes peut accéder à n'importe quel site, application ou dispositif du réseau. Avec la sécurité à confiance zéro, personne n'est fiable par défaut, que ce soit à l'intérieur ou à l'extérieur du réseau. La confiance zéro fonctionne dès le départ en exigeant une vérification de chaque utilisateur qui tente d'accéder aux ressources, ce qui permet d'authentifier les utilisateurs et de réglementer l'accès aux systèmes, aux réseaux et aux données. Ce processus implique la validation des identités des utilisateurs, des droits d'accès associés à un système particulier, et permet aux entreprises de gérer les identités digitales des utilisateurs en garantissant un accès approprié. Pour renforcer l'authentification, la confiance zéro utilise également plusieurs couches de contrôle d'accès avancé pour l'accès aux périphériques du réseau et aux serveurs qui prennent en charge les ressources. Cette approche permet également de suivre les activités des utilisateurs, de créer des rapports sur ces activités et d'appliquer des stratégies pour garantir la conformité.

Architecture Zero Trust

 

Les principes de l'architecture de confiance zéro établis par le National Institute of Standards & Technology (NIST) sont les suivants :

  1. Toutes les sources de données et les services informatiques sont considérés comme des ressources.
  2. Toute communication est sécurisée indépendamment de l'emplacement du réseau ; l'emplacement du réseau n'implique pas la confiance.
  3. L'accès aux ressources individuelles de l'entreprise est accordé sur la base de chaque connexion ; la confiance dans le demandeur est évaluée avant que l'accès ne soit accordé.
  4. L'accès aux ressources est déterminé par la stratégie, y compris l'état observable de l'identité de l'utilisateur et du système demandeur, et peut inclure d'autres attributs comportementaux.
  5. L'entreprise s'assure que tous les systèmes détenus et associés sont dans l'état le plus sûr possible et surveille les systèmes pour s'assurer qu'ils restent dans l'état le plus sûr possible.
  6. L'authentification des utilisateurs est dynamique et strictement appliquée avant que l'accès ne soit autorisé ; il s'agit d'un cycle constant d'accès, d'analyse et d'évaluation des menaces, d'adaptation et d'authentification continue.

Quels sont les avantages de la sécurité à confiance zéro ?

Réduire les risques
Réduire les risques liés aux menaces constantes grâce aux principes de conception axés sur la sécurité. Utilisez des technologies telles que l'isolation intégrée des locataires et l'accès au moindre privilège, qui vous aideront également à respecter les règles de conformité et de confidentialité. Grâce à une bonne gestion des identités, les entreprises peuvent mieux contrôler l'accès des utilisateurs, ce qui se traduit par une réduction des risques de violation interne et externe.

Contrôle de l'accès
Une approche de la sécurité fondée sur la confiance zéro implique la saisie d'informations sur les utilisateurs, la gestion des identités des utilisateurs et l'orchestration des privilèges d'accès pour aider à réguler l'accès aux systèmes ou aux réseaux pour les utilisateurs individuels au sein d'une entreprise.

Améliorer l'état de sécurité des entreprises

  • Exposition des données due à une mauvaise utilisation des contrôles d'accès/de permission
  • Perte de données due à l'utilisation de services cloud non approuvés
  • Manque de visibilité sur le mouvement des données entre le périmètre du réseau et les services cloud
  • Les utilisateurs qui partagent des données sensibles avec un utilisateur tiers externe via un service cloud
  • Exposition des données des utilisateurs distants et des appareils personnels
  • Activités malveillantes d'initiés, y compris d'anciens collaborateurs ayant des comptes/autorisations actifs
  • Perte de données due à l'utilisation inappropriée de services cloud approuvés
  • Données non chiffrées
  • Un attaquant se faisant passer pour un collaborateur via des informations d'identification volées
  • Comptes de stockage d'objets mal configurés
Modèle de confiance zéro

 

Affiner l'avantage concurrentiel

Les entreprises qui passent d'une approche de sécurité périmétrique standard à un modèle de confiance zéro profitent de l'automatisation, de la sécurité et de la gouvernance, ce qui renforce leur avantage concurrentiel global et leur souplesse d'action.

Quelles sont les bonnes pratiques pour une sécurité à confiance zéro ?

Les entreprises qui poursuivent un modèle de sécurité à confiance zéro doivent :

  • Évaluer le système actuel pour déterminer son état présent et élaborer un plan de mesures correctives. Une entreprise doit d'abord identifier et hiérarchiser ses données afin de comprendre où réglementer l'accès. Une approche de la sécurité fondée sur la confiance zéro exige la protection des données - qui peuvent être des éléments de propriété intellectuelle, des données financières, des données personnelles sur les clients ou le personnel ou (plus probablement) une combinaison des trois.
  • Détecter les tentatives d'accès aux données en dehors de la stratégie, et identifier les anomalies dans l'accès aux données. Presque toutes les activités sont répétitives, de sorte que les anomalies sont souvent un indicateur avancé d'une tentative de vol de données. Le passage à un modèle de confiance zéro nécessite la saisie d'informations sur les utilisateurs, la gestion de leur identité et l'organisation de leurs privilèges d'accès.
  • Empêcher l’accès aux données. Sans surveillance automatisée des ressources et des activités, les entreprises sont vulnérables face aux utilisateurs en péril et aux violations de données. La confiance zéro permet une meilleure visibilité des utilisateurs et de l'activité d'une organisation

Un modèle de sécurité efficace à confiance zéro offrira :

  1. Des principes de conception axés sur la sécurité, avec une sécurité intégrée pour réduire les risques.

        -  Virtualisation réseau isolée
        -  Séparation granulaire des tâches
        -  Accès avec le moindre privilège

  1. Sécurité automatisée pour réduire la complexité et prévenir les erreurs humaines.

        -  Atténuation automatisée des menaces et mesures correctives

  1. Sécurité continue et toujours active pour une protection transparente.

        -  Chiffrement omniprésent activé par défaut
        -  Surveillance continue des comportements des utilisateurs
        -  Authentification adaptative contextuelle