Zero Trust from Zero to Hero, de la stratégie à la tactique – Épisode 2

Le 8 mars dernier, Metsys en collaboration avec les équipes Microsoft, ont inauguré une série de webinars consacrés au Zero Trust, par une première session dédiée au rappel des fondamentaux de ce modèle d’architecture.

Pour l’occasion, Jean-Yves Grasset, National Security Officer (Microsoft), et Hervé Thibault, CTO & Microsoft Regional Director (Metsys) ont partagé, à tour de rôle, leurs expertises et connaissances en matière de Zero Trust.

L’objectif de cet événement virtuel est de démontrer comment le Zero Trust peut renforcer la protection des entreprises, dans un contexte d’élargissement du périmètre du SI des entreprises, mais également de fournir des outils pour vous aider à démarrer un projet Zero Trust.

L’article suivant est un résumé des sujets évoquées lors du webinar, pour en savoir plus, retrouvez le replay via ce lien https://www.youtube.com/watch?v=xmXckj43r_c.

« Le Zero Trust n’est pas une vision de l’esprit mais une démarche construite qui s’appuie des outils ! »

Il est important de bien comprendre qu’aujourd’hui, les entreprises ne peuvent plus se satisfaire d’un « simple » pare-feu pour protéger leurs essentiels. La sécurité telle que l’on a connue n’existe plus. Hier, l’activité de l’entreprise se concentrait sur le périmètre « réseau », aujourd’hui, l’identité est venue s’ajouter au réseau et Internet est devenu le nouveau réseau de l’entreprise.

Fini le temps, où l’on pouvait se connecter au SI via un VPN. L’entreprise a dû s’ouvrir pour accueillir des partenaires, de nouveaux types d’appareils et a dû s’adapter à de nouveaux modes de travail… La frontière n’est plus le réseau, mais c’est l’identité qui délimite le périmètre.

L’identité est devenue un champ de bataille que l’entreprise doit impérativement prendre en compte pour mieux se protéger. C’est dans ce contexte que le Zero Trust est, aujourd’hui, la meilleure approche car elle met le contrôle d’accès au cœur de la sécurité.

Vous retrouverez dans le webinar, tous les détails concernant l’architecture Zero Trust ainsi que la manière dont les technologies Microsoft s’y intègrent

Comment démarrer votre projet de transformation Zero Trust ?

Dans le cadre d’un déploiement d’une architecture orientée Zero Trust, un certain nombre d’étapes sont à mettre en compte.

Jean-Yves Grasset en a répertorié 11 :

  1. Comprendre la vision Zero Trust
  2. Constituer une équipe transversale qui ne sera pas composée uniquement des équipes réseau et sécurité ; il est indispensable que les métiers soient intégrés pour mettre en perspective leurs besoins et contraintes.
  3. Savoir pourquoi on souhaite mettre en place un projet Zero Trust ; faire du Zero Trust pour faire du Zero Trust n’a pas de sens si l’on ne définit pas des objectifs précis et réalisables.
  4. Décliner les briques technologiques, c’est-à-dire être capable de comprendre quelles sont les solutions sur lesquelles le Zero Trust va s’appuyer.
  5. Identifier son niveau de maturité en réalisant un inventaire des solutions de sécurité utilisées, et en évaluant ses forces et ses faiblesses. L’objectif n’est pas de tout remplacer mais bien d’identifier les points sur lesquels on doit s’améliorer. Evaluez votre maturité en matière de sécurité : https://aka.ms/Zero-Trust-Maturity-Questionnaire
  6. Identifier les « quick wins », c’est-à-dire les éléments Zero Trust prioritaires qui permettront d’améliorer rapidement sa posture de sécurité.
  7. Prioriser le pilier identité
  8. Définir et utiliser des indicateurs de performance
  9. Superviser la sécurité
  10. Redéfinir les frontières du réseau d’entreprise
  11. Définir une feuille de route

Retrouvez tous les sujets liés au Zero Trust dans le guide Microsoft « Comment initier votre projet de transformation Zero Trust : https://www.microsoft.com/en-us/download/details.aspx?id=103263

Les 2 Mantras essentiels pour le déploiement d’un projet Zero Trust

Mantra 1 : L’identité est le nouveau périmètre

C’est le meilleur point de départ pour un projet Zero Trust ; tout le contrôle d’accès, qui est la base du Zero Trust, est basé sur ce pilier. Recommandation Microsoft : commencez par intégrer l’identité multi facteurs puis envisagez l’authentification sans mot de passe (reconnaissance faciale, par exemple), aujourd’hui les solutions sont à la portée de tous.

Mantra 2 : Internet devient le réseau d’entreprise.

Aujourd’hui, le réseau interne s’est dépeuplé (80% sur Internet) et n’héberge plus que 20% de l’activité de l’entreprise (ressources critiques), qui nécessitera cependant plus d’attention pour protéger les actifs sensibles.

Les points à retenir

  • Le Zero Trust est un changement de modèle de sécurité pour s’adapter aux menaces actuelles et répondre aux besoins d’ouverture liés à la transformation numérique des entreprises.
  • Le Zero Trust s’appuie sur 6 piliers : l’identité, les appareils, les applications, l’infrastructure, les données et le réseau.
  • Avec le Zero Trust, l’identité devient le nouveau périmètre et Internet, le réseau d’entreprise.
  • Le Zero Trust peut se décliner dès maintenant avec des briques technologiques (Microsoft, ou autres selon l’existant de l’entreprise)
  • Et enfin, le Cloud est un facteur essentiel.

Pour aller plus loin :

Metsys délivre des ateliers gratuits sur la sécurité. Pour en savoir plus : https://www.metsys.fr/offres/cybersecurity/nos-offres-cybersecurite/

Ressources :

https://www.nist.gov/publications/zero-trust-architecture

https://www.cigref.fr/vers-une-philosophie-zero-trust-une-rupture-dans-la-continuite-pour-la-securite-des-applications

https://docs.microsoft.com/en-us/azure/active-directory/authentication/how-to-certificate-based-authentication

https://aka.ms/zero-trust-maturity-model

https://aka.ms/zero-trust-maturity-assessment

https://aka.ms/Zero-Trust-Maturity-Questionnaire

A propos de l'auteur

Acteur incontournable des services du numérique, Metsys s’engage à satisfaire l’ambition de ses clients dans leurs projets de transformation digitale.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.