Guide de l'utilisateur sur la mise en œuvre de Connection Zero Trust dans les environnements multi-cloud

A : L’adoption de Zero Trust dans les environnements multicloud aide les organisations à améliorer leur posture de cybersécurité, à atténuer les risques associés aux services cloud, à améliorer la protection des données et à renforcer la résilience globale de la sécurité.

Q : Comment les organisations peuvent-elles mesurer leurs progrès sur le chemin du Zero Trust ?

R : Les organisations peuvent mesurer leurs progrès sur le chemin de la confiance zéro en évaluant leur mise en œuvre de l’accès au moindre privilège, de la segmentation du réseau, des mécanismes d’authentification continue et des capacités de surveillance et de réponse.

Introduction

La cyber-résilience associe la planification de la continuité des activités, la cybersécurité et la résilience opérationnelle. L’objectif est de pouvoir maintenir les opérations avec peu ou pas de temps d’arrêt, même si le pire scénario (une cyberattaque dévastatrice ou une autre catastrophe) se produit.
Dans le monde d’aujourd’hui, la cyber-résilience devrait figurer parmi les objectifs prioritaires de chaque organisation. À l’échelle mondiale, la cybercriminalité coûte aujourd’hui à ses victimes plus de 11 20 milliards de dollars par an, un chiffre qui devrait dépasser les 2026.1 2020.2 milliards de dollars d’ici la fin de XNUMX Les dépenses liées aux violations de données, aux ransomwares et aux attaques d’extorsion continuent d’augmenter, augmentant en moyenne de plus de XNUMX % par an depuis XNUMX Mais ces coûts ne sont pas supportés de manière égale par toutes les victimes. Certaines organisations, comme celles des secteurs hautement réglementés comme la santé, enregistrent des dépenses moyennes liées aux violations plus élevées, tandis que d’autres, comme celles dotées de programmes d’opérations de sécurité matures qui tirent parti de l’automatisation et de l’IA, ont tendance à subir des coûts plus faibles.
L’écart entre les victimes de cybercriminalité qui subissent des pertes dévastatrices et celles qui ne subissent que des impacts mineurs suite à une violation va se creuser à mesure que les acteurs de la menace développent leurs capacités. Les technologies émergentes comme l’IA générative permettent aux attaquants de lancer des attaques moins sophistiquées (comme le phishing) à une échelle toujours plus grande. Il devient également plus facile de créer des compromissions de messagerie professionnelle (BEC) et des attaques d’ingénierie sociale hautement personnaliséesampaigne.
Pour protéger leurs revenus et leur réputation, et s’assurer de conserver la confiance de leurs clients, les organisations de toutes tailles et de tous les secteurs doivent s’éloigner des anciennes manières de penser et de mettre en œuvre la cyberdéfense.
C’est exactement ce à quoi répond Zero Trust.

11 XNUMX milliards de dollars
coût annuel de la cybercriminalité dans le monde1

58% d'augmentation
dans les attaques de phishing de 2022 à 20233

108% d'augmentation
dans les attaques de compromission de courrier électronique professionnel (BEC) au cours de la même période4

Statista, Coût estimé de la cybercriminalité dans le monde 2018-2029, juillet 2024.

IBM, rapport 2023 sur le coût d'une violation de données.
Zscaler, rapport ThreatLabz sur le phishing 2024

Sécurité anormale, rapport sur les menaces par courrier électronique du premier semestre 1

Zero Trust : une nouvelle vision pour la protection des écosystèmes technologiques modernes

Alors que de plus en plus d'entreprises déplacent des parties clés de leurs infrastructures informatiques vers le cloud, il est essentiel d'adopter des stratégies de cybersécurité adaptées aux environnements technologiques actuels. Ces derniers sont généralement complexes, distribués et sans frontières. En ce sens, ils sont radicalement différents des réseaux sur site (avec des serveurs et des ordinateurs de bureau protégés par un pare-feu périmétrique) pour lesquels les approches de sécurité traditionnelles ont été créées.

Zero Trust a été inventé pour combler cette lacune. Conçu pour éliminer les vulnérabilités qui surviennent lorsque les utilisateurs sont automatiquement approuvés par défaut (comme lorsqu'ils se trouvent à l'intérieur du périmètre d'un réseau existant), Zero Trust est parfaitement adapté aux environnements informatiques modernes, où les utilisateurs situés dans une grande variété d'emplacements accèdent en permanence aux données et aux services à l'intérieur et à l'extérieur du réseau de l'entreprise.
Mais il n’est pas toujours simple de comprendre ce qu’implique l’adoption du Zero Trust. Il n’est pas non plus facile de déterminer comment faire progresser la maturité Zero Trust de votre organisation. Pour sélectionner les bonnes technologies à mettre en œuvre, il faut se frayer un chemin à travers une mer de revendications concurrentes des fournisseurs, et avant même de pouvoir le faire, vous devez trouver la bonne stratégie.

Pour vous faciliter la tâche, nous avons élaboré ce guide pratique. Vous y trouverez un plan en cinq étapes pour aider votre organisation à accélérer sa progression vers le Zero Trust.

Qu'est-ce que Zero Trust

Zero Trust est une stratégie de cybersécurité basée sur le principe de base « ne jamais faire confiance, toujours vérifier ». Le terme est devenu d’usage courant lorsque les experts du secteur ont observé un nombre croissant de cyberattaques au cours desquelles les périmètres des réseaux ont été violés avec succès. Au début des années 2000, la plupart des réseaux d’entreprise disposaient d’une « zone de confiance » interne protégée par des pare-feu, un modèle connu sous le nom d’approche du château et des douves en matière de cybersécurité.
À mesure que les environnements informatiques et le paysage des menaces évoluaient, il devenait de plus en plus évident que presque tous les aspects de ce modèle étaient défectueux.

Les périmètres réseau ne peuvent tout simplement pas être sécurisés de manière à 100 % sans risque de panne.
Il sera toujours possible pour des attaquants déterminés de trouver des failles ou des trous.
Chaque fois qu'un attaquant parvient à accéder à la « zone de confiance », il lui devient très facile de voler des données, de déployer des ransomwares ou de causer d'autres dommages, car rien n'empêche tout mouvement ultérieur.

À mesure que les organisations adoptent de plus en plus le cloud computing et permettent à leurs employés de travailler à distance, le concept de connexion au réseau est de moins en moins pertinent pour leur posture de sécurité.
Zero Trust a été créé pour répondre à ces défis, en fournissant un nouveau modèle de sécurisation des données et des ressources basé sur la validation continue qu'un utilisateur/appareil doit se voir accorder l'accès avant d'être autorisé à se connecter à un service ou à une ressource.

Zero Trust devient une norme intersectorielle

Le Zero Trust a été largement adopté par les organisations dans de nombreux secteurs d’activité. Selon une enquête récente, près de 70 % des leaders technologiques sont en train de mettre en œuvre des politiques Zero Trust au sein de leurs entreprises.5 Des efforts considérables ont également été déployés pour adopter le Zero Trust dans le secteur public. Le décret de 2021 sur l’amélioration de la cybersécurité nationale, par exemple, a appelé le gouvernement fédéral et les organisations des secteurs des infrastructures critiques à progresser dans leur maturité Zero Trust.6 Le National Institute of Standards and Technologies (NIST) et la Cybersecurity and Infrastructure Security Agency (CISA) ont tous deux publié des définitions détaillées du Zero Trust, ainsi que des conseils détaillés sur la manière d’y parvenir.

Zero Trust : définitions officielles

Institut national des normes et des technologies (NIST) :
Zero Trust (ZT) est le terme utilisé pour désigner un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les actifs et les ressources. Une architecture Zero Trust (ZTA) utilise les principes Zero Trust
pour planifier l'infrastructure et les flux de travail industriels et d'entreprise. Zero Trust suppose qu'aucune confiance implicite n'est accordée aux actifs ou aux comptes d'utilisateur en fonction uniquement de leur emplacement physique ou réseau (c'est-à-dire les réseaux locaux par rapport à Internet) ou en fonction de la propriété des actifs (entreprise ou propriété personnelle). L'authentification et l'autorisation (à la fois du sujet et de l'appareil) sont des fonctions distinctes exécutées avant l'établissement d'une session sur une ressource d'entreprise. Zero Trust est une réponse aux tendances des réseaux d'entreprise qui incluent les utilisateurs distants, le BYOD (apportez votre propre appareil) et les actifs basés sur le cloud qui ne sont pas situés dans les limites d'un réseau appartenant à l'entreprise. Zero Trust se concentre sur la protection des ressources (actifs, services, flux de travail, comptes réseau, etc.), et non des segments de réseau, car l'emplacement du réseau n'est plus considéré comme le composant principal de la posture de sécurité de la ressource.

Agence de cybersécurité et de sécurité des infrastructures (CISA) :
Zero Trust fournit un ensemble de concepts et d'idées conçus pour minimiser l'incertitude dans l'application de décisions d'accès précises et à moindre privilège par demande dans les systèmes et services d'information face à un réseau viewL'architecture Zero Trust (ZTA) est un plan de cybersécurité d'entreprise qui utilise les concepts Zero Trust et englobe les relations entre les composants, la planification des flux de travail et les politiques d'accès. Par conséquent, une entreprise Zero Trust est l'infrastructure réseau (physique et virtuelle) et les politiques opérationnelles mises en place pour une entreprise en tant que produit d'un plan ZTA.8

Progresser dans votre parcours Zero Trust

Le concept Zero Trust est largement accepté comme une norme de sécurité que les organisations devraient s'efforcer d'atteindre. Il s'agit également, comme le montrent clairement les définitions ci-dessus, d'un concept complexe.
La plupart des organisations disposant de programmes de sécurité établis ont déjà mis en place au moins certains contrôles destinés à protéger leur réseau interne (pare-feu physiques, par exemple). Pour ces organisations, le défi consiste à s'éloigner du modèle traditionnel (et des modes de pensée qui l'accompagnent) pour adopter le modèle Zero Trust, progressivement, tout en respectant le budget et en continuant à améliorer la visibilité, le contrôle et la capacité à répondre aux menaces.
Ce n’est peut-être pas facile, mais c’est tout à fait possible avec la bonne stratégie.

Étape 1 : Commencez par comprendre les cadres Zero Trust.

La définition du Zero Trust du NIST le décrit comme une architecture, c'est-à-dire une manière de planifier et de mettre en œuvre une infrastructure de sécurité d'entreprise et un ensemble de flux de travail sur la base des principes du Zero Trust. L'accent est mis sur la protection des ressources individuelles, et non des réseaux ou des parties (segments) de réseaux.
La norme NIST SP 800-207 comprend également une feuille de route pour l'adoption du Zero Trust. La publication décrit les éléments de base nécessaires à la création d'une architecture Zero Trust (ZTA). Différents outils, solutions et/ou processus peuvent être utilisés ici, à condition qu'ils jouent le rôle approprié dans la conception de l'architecture.
Du point de vue du NIST, l’objectif de Zero Trust est d’empêcher l’accès non autorisé aux ressources tout en rendant l’application du contrôle d’accès aussi granulaire que possible.

Il y a deux domaines clés sur lesquels nous devons insister :

Mécanismes permettant de prendre des décisions concernant les utilisateurs ou les flux de trafic auxquels l'accès aux ressources est accordé
Mécanismes permettant de faire respecter ces décisions d’accès

Il existe plusieurs façons de mettre en œuvre une architecture Zero Trust. Parmi celles-ci, on peut citer :

Approche basée sur la gouvernance des identités
Approche basée sur la micro-segmentation dans laquelle des ressources individuelles ou de petits groupes de ressources sont isolés sur un segment de réseau protégé par une solution de sécurité de passerelle
Approche basée sur un périmètre défini par logiciel dans laquelle une solution réseau telle que le réseau étendu défini par logiciel (SD-WAN), le service d'accès sécurisé Edge (SASE) ou le service de sécurité Edge (SSE) configure l'ensemble du réseau de manière à restreindre l'accès aux ressources conformément aux principes ZT
Le modèle de maturité Zero Trust de la CISA repose sur des concepts similaires. Il met l'accent sur l'application de contrôles de sécurité précis qui régissent l'accès des utilisateurs aux systèmes, aux applications, aux données et aux actifs, et sur la mise en place de ces contrôles tout en gardant à l'esprit l'identité, le contexte et les besoins d'accès aux données des utilisateurs.
Cette approche est complexe. Selon la CISA, le chemin vers le Zero Trust est un processus progressif dont la mise en œuvre peut prendre des années.
Le modèle de la CISA repose sur cinq piliers. Des avancées peuvent être réalisées dans chacun de ces domaines pour soutenir la progression de l'organisation vers le Zero Trust.

Zero Trust représente le passage d’un modèle centré sur la localisation à une approche centrée sur l’identité, le contexte et les données avec des contrôles de sécurité précis entre les utilisateurs, les systèmes, les applications, les données et les actifs qui évoluent au fil du temps.
—CISA, Modèle de maturité Zero Trust, version 2.0

Les cinq piliers du modèle de maturité Zero Trust

Étape 2 : Comprendre ce que signifie progresser vers la maturité.
Le modèle de maturité Zero Trust de la CISA décrit quatretages de progression vers la maturité : traditionnelle, initiale, avancée et optimale.
Il est possible de progresser vers la maturité dans chacun des cinq piliers (identité, appareils, réseaux, applications et charges de travail, et données). Cela implique généralement d'ajouter de l'automatisation, d'améliorer la visibilité en collectant des données à utiliser dans les analyses et d'améliorer la gouvernance.

Avancer vers la maturité Zero Trust

Disons, par example, que votre organisation exécute une application cloud native sur AWS.

Pour progresser dans le pilier « identité », vous pouvez passer de l'attribution et de la suppression manuelles des accès pour cette application (traditionnelle) à l'automatisation de l'application des politiques liées à l'identité (initiale). Pour approfondir votre maturité Zero Trust, vous pouvez appliquer des contrôles de gestion du cycle de vie automatisés cohérents dans cette application et dans un certain nombre d'autres que vous exécutez (avancée). L'optimisation de la maturité Zero Trust peut inclure l'automatisation complète de la gestion du cycle de vie des identités juste à temps, l'ajout d'une application dynamique des politiques avec des rapports automatisés et la collecte de données de télémétrie qui permettent une visibilité complète sur cette application et toutes les autres dans votre environnement.
Plus votre organisation est mature, plus vous serez en mesure de corréler les événements sur les cinq piliers. De cette façon, les équipes de sécurité peuvent comprendre comment ils sont liés tout au long du cycle de vie de l'attaque, qui peut commencer par une identité compromise sur un seul appareil, puis se déplacer sur le réseau pour cibler les données sensibles de votre application cloud native exécutée sur AWS.

Feuille de route Zero Trust

Étape 3 : identifiez la stratégie d’adoption ou de migration Zero Trust qui fonctionnera le mieux pour votre organisation.

À moins que vous ne construisiez une nouvelle architecture à partir de zéro, il est généralement plus judicieux de travailler de manière incrémentielle. Cela signifie implémenter les composants de l'architecture Zero Trust un par un, tout en continuant à fonctionner dans un environnement hybride basé sur le périmètre/Zero Trust. Avec cette approche, vous progresserez progressivement dans vos initiatives de modernisation en cours.

Étapes à suivre dans une approche progressive :

Commencez par identifier les domaines où les risques cybernétiques et commerciaux sont les plus élevés. Commencez par apporter les modifications nécessaires pour protéger vos données les plus précieuses, puis procédez par étapes.
Examinez attentivement tous les actifs, utilisateurs, flux de travail et échanges de données au sein de votre organisation. Cela vous permettra de cartographier les ressources que vous devez protéger. Une fois que vous aurez compris comment les gens utilisent ces ressources, vous pourrez élaborer les politiques dont vous aurez besoin pour les protéger.
Hiérarchisez les projets en fonction des risques et des opportunités pour votre entreprise. Quels projets auront le plus d'impact sur votre sécurité globale ? Quels projets seront les plus faciles à réaliser rapidement ? Quels projets seront les moins perturbateurs pour les utilisateurs finaux ? En posant ce genre de questions, votre équipe sera en mesure de prendre des décisions stratégiques.

Étape 4 : Évaluez les solutions technologiques pour voir celles qui correspondent le mieux à vos processus métier et à votre écosystème informatique actuel.
Cela nécessitera une introspection ainsi qu’une analyse de ce qui existe sur le marché.

Les questions à poser sont les suivantes :

Notre entreprise autorise-t-elle l'utilisation d'appareils appartenant aux employés ? Si oui, cette solution fonctionnera-t-elle avec votre politique BYOD (apportez votre propre appareil) existante ?

Cette solution fonctionne-t-elle dans le cloud public ou dans les clouds dans lesquels nous avons développé notre infrastructure ? Peut-elle également régir l'accès aux applications SaaS (si nous les utilisons) ? Peut-elle également fonctionner pour les ressources sur site (si nous en avons) ?
Cette solution prend-elle en charge la collecte de journaux ? S'intègre-t-elle à la plateforme ou à la solution que nous utilisons pour la prise de décision en matière d'accès ?
La solution prend-elle en charge toutes les applications, tous les services et tous les protocoles utilisés dans notre environnement ?

La solution est-elle adaptée aux méthodes de travail de nos collaborateurs ? Une formation complémentaire est-elle nécessaire avant sa mise en œuvre ?

Étape 5 : implémenter le déploiement initial et surveiller ses performances.

Une fois que vous êtes satisfait du succès de votre projet, vous pouvez en tirer parti en franchissant les prochaines étapes vers la maturité Zero Trust.

Zero Trust dans les environnements multi-cloud

De par sa conception, Zero Trust est destiné à être utilisé dans les écosystèmes informatiques modernes, qui incluent presque toujours des composants d'un ou de plusieurs fournisseurs de cloud. Zero Trust est un choix naturel pour les environnements multi-cloud. Cela dit, il peut être difficile de créer et d'appliquer des politiques cohérentes sur différents types d'appareils, d'utilisateurs et d'emplacements, et le recours à plusieurs fournisseurs de cloud augmente la complexité et la diversité de votre environnement.
En fonction de votre secteur d'activité, de vos objectifs commerciaux et de vos exigences de conformité, la stratégie de votre organisation sera différente de celle de toutes les autres. Il est important de prendre ces différences en compte lors de la sélection des solutions et de l'élaboration d'une stratégie de mise en œuvre.
Il est très important de créer une architecture d'identité multicloud solide. Les appareils des utilisateurs individuels doivent pouvoir se connecter à votre réseau interne, aux ressources cloud et (dans de nombreux cas) à d'autres ressources distantes. Une solution comme SASE, SSE ou SD-WAN peut permettre cette connectivité tout en prenant en charge l'application granulaire des politiques. Une solution de contrôle d'accès au réseau multicloud (NAC) spécialement conçue pour appliquer le principe Zero Trust peut rendre possible une prise de décision intelligente en matière d'authentification, même dans des environnements très divers.

N’oubliez pas les solutions fournies par les fournisseurs de cloud.
Les fournisseurs de cloud public comme AWS, Microsoft et Google proposent des outils natifs qui peuvent être exploités pour analyser, améliorer et maintenir votre posture de sécurité cloud. Dans de nombreux cas, l'exploitation de ces solutions est une bonne idée sur le plan commercial. Elles peuvent être à la fois rentables et très performantes.

L’importance de travailler avec un partenaire de confiance

La plupart des décisions de conception architecturale à prendre lors de la mise en œuvre de Zero Trust sont complexes. Le bon partenaire technologique connaîtra parfaitement tous les produits, services et solutions technologiques disponibles sur le marché aujourd'hui, il saura donc parfaitement lesquels sont les mieux adaptés à votre entreprise.

Conseil d'expert :

Recherchez un partenaire qui maîtrise parfaitement l’intégration sur plusieurs clouds et plateformes publics.
Le contrôle des coûts peut être un problème dans les environnements multicloud : l'utilisation de solutions fournies par des fournisseurs peut être moins coûteuse, mais peut rendre plus difficile le maintien de contrôles cohérents sur différentes plateformes ou infrastructures. Déterminer la meilleure stratégie peut nécessiter une analyse coûts-avantages ainsi qu'une compréhension approfondie de votre environnement informatique.

Le bon partenaire peut vous aider à prendre cette décision. Il doit avoir des partenariats étendus avec plusieurs fournisseurs de solutions de sécurité, afin de pouvoir vous aider à voir au-delà des revendications individuelles des fournisseurs pour découvrir quelles solutions sont vraiment les mieux adaptées à vos besoins. Il peut également être en mesure d'obtenir des avantagestagIls établissent les prix en votre nom, car ils travaillent avec plusieurs fournisseurs en même temps.
Recherchez un fournisseur capable de prendre en charge une mission de conseil ponctuelle si nécessaire, mais qui possède également l'expertise nécessaire pour fournir des services gérés sur le long terme. De cette façon, vous pouvez être sûr de ne pas être confronté à une charge administrative excessive et de pouvoir tirer pleinement parti des outils et des solutions que vous sélectionnez.

Rencontrez la connexion

Pour protéger les organisations contre les cyber-risques croissants, la mise en œuvre d'une architecture Zero Trust est d'une importance vitale. Mais c'est aussi complexe. De la compréhension des cadres Zero Trust au choix des technologies, en passant par
Élaborer une stratégie de mise en œuvre et faire progresser votre maturité Zero Trust peut être un projet à long terme comportant de nombreuses pièces mobiles.

En s'associant au service et à la solution appropriés, vous pouvez progresser vers le Zero Trust à la fois plus facilement et à moindre coût. À long terme, votre équipe peut être sûre que vous atténuez certains des risques les plus importants (et potentiellement les plus coûteux) auxquels votre entreprise est confrontée.
Connection, une entreprise Fortune 1000, apaise la confusion des TI en proposant à ses clients des solutions technologiques de pointe pour optimiser la croissance, accroître la productivité et favoriser l'innovation. Des spécialistes dédiés axés sur un service exceptionnel personnalisent les offres adaptées aux besoins uniques du client. Connection offre une expertise dans de nombreux domaines technologiques, fournissant des solutions à des clients dans plus de 174 pays.
Nos partenariats stratégiques avec des entreprises telles que Microsoft, AWS, HP, Intel, Cisco, Dell et VMware permettent à nos clients de trouver facilement les solutions dont ils ont besoin pour faire progresser leur maturité Zero Trust.

Comment Connection peut aider

Connection est votre partenaire pour la mise en œuvre de Zero Trust. Du matériel et des logiciels au conseil et aux solutions personnalisées, nous sommes à l'avant-garde dans les domaines essentiels à la réussite des environnements Zero Trust et multicloud.

Explorez nos ressources
Infrastructures modernes
Services de cybersécurité

Contactez l'un de nos experts en connexion dès aujourd'hui :

Contactez-nous
1.800.998.0067

©2024 PC Connection, Inc. Tous droits réservés. Connection® et we solve IT® sont des marques commerciales de PC Connection, Inc. ou de ses filiales. Tous les droits d'auteur et marques commerciales restent la propriété de leurs propriétaires respectifs. 2879254-1224

EN PARTENARIAT AVEC

Grâce à nos relations durables avec nos clients et à notre expertise des technologies Cisco, nous améliorons constamment notre façon de travailler avec Cisco. Notre vaste gamme de connaissances et de services de conseil Cisco peut accélérer votre avantage concurrentiel, vous aider à augmenter votre production et à améliorer votre efficacité. Connection, en collaboration avec Cisco, peut vous guider dans votre parcours de transformation de votre entreprise à l'ère numérique.

En tant que partenaire de solutions Microsoft, Connection propose des produits, une expertise technique, des services et des solutions pour aider votre entreprise à s'adapter à un paysage technologique en constante évolution. Nous favorisons l'innovation pour votre organisation grâce à la fourniture et au déploiement de solutions matérielles, logicielles et cloud Microsoft, en tirant parti de notre vaste savoir-faire et de nos capacités éprouvées pour vous permettre de tirer le meilleur parti de vos investissements Microsoft.

Documents / Ressources

Mise en œuvre de Connection Zero Trust dans des environnements multi-cloud [pdf] Guide de l'utilisateur
Mise en œuvre de Zero Trust dans des environnements multi-cloud, Mise en œuvre de la confiance dans des environnements multi-cloud, Mise en œuvre dans des environnements multi-cloud, dans des environnements multi-cloud, Environnements cloud, Environnements

Références

Manuel d'utilisation

Laisser un commentaire

Annuler la réponse