Qu’est-ce que Confiance nulle ?

Confiance nulle est une stratégie de sécurité. Il ne s’agit pas d’un produit ou d’un service, mais d’une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants :

  • Vérifier explicitement
  • Administration selon le principe des privilèges minimum
  • Supposer une violation

Principes directeurs de la Confiance Zéro

Vérifier explicitement Administration selon le principe des privilèges minimum Supposer une violation
Authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. Limitez l’accès utilisateur avec l’accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

C’est la base de la Confiance Zéro. Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

Il est conçu pour s’adapter aux complexités de l’environnement moderne qui englobe la main-d’œuvre mobile, protège les personnes, les appareils, les applications et les données où qu’ils se trouvent.

Une approche Confiance Zéro doit être appliquée sur l’intégralité du patrimoine numérique et faire office de philosophie de sécurité intégrée et de stratégie de bout en bout. Pour ce faire, il faut implémenter des contrôles et des technologies Confiance Zéro sur six éléments fondamentaux. Chacun d’eux est une source de signal, un plan de contrôle pour la mise en œuvre et une ressource critique à défendre.

Diagramme des éléments de visibilité, d’automatisation et d’orchestration dans la Confiance Zéro.

Les différents besoins de l’organisation, les implémentations technologiques existantes et les phases de sécurité ont tous une incidence sur la planification de l’implémentation d’un modèle de sécurité Confiance Zéro. En utilisant notre expérience pour aider les clients à sécuriser leurs organisations et implémenter notre propre modèle Confiance Zéro, nous avons développé les instructions suivantes pour évaluer si vous êtes prêt et vous aider à établir un plan visant à obtenir la Confiance Zéro.

Vous pouvez organiser votre approche de la Confiance Zéro autour de ces piliers informatiques clés :


Icône d’empreinte digitale.

Sécuriser les identités avec la Confiance Zéro

Les identités, qu’elles représentent des personnes, des services ou des appareils IoT, définissent le plan de contrôle de la Confiance Zéro. Lorsqu’une identité tente d’accéder à une ressource, vérifiez cette identité avec une authentification forte et assurez-vous que l’accès est conforme et normal pour cette identité. Suivez les principe du droit d’accès minimal.

Icône Appareils de point de terminaison.

Sécuriser les points de terminaison avec la Confiance Zéro

Une fois que l’accès à une ressource a été accordé à une identité, les données peuvent circuler vers divers points de terminaison différents : des appareils IoT vers des smartphones, des appareils BYOD vers des appareils gérés par des partenaires et des charges de travail locales vers des serveurs hébergés dans le cloud. Cette diversité crée une énorme surface d’attaque. Surveillez et assurez l’intégrité et la conformité des appareils pour en sécuriser l’accès.

Icône de fenêtre d’application.

Sécuriser les applications avec la Confiance Zéro

Les applications et les API fournissent l’interface par laquelle les données sont consommées. Elles peuvent être des applications locales existantes, des charges de travail déplacées dans le cloud par lift-and-shift ou des applications SaaS modernes. Appliquez des contrôles et des technologies pour découvrir le Shadow IT, assurez des autorisations in-app appropriées, contrôlez l’accès en vous basant sur l’analytique en temps réel, surveillez les comportements anormaux, contrôlez les actions des utilisateurs et validez les options de configuration sécurisée.

Icône Des uns et des zéros.

Sécuriser les données avec la Confiance Zéro

En fin de compte, les équipes de sécurité protègent les données. Dans la mesure du possible, les données doivent toujours être sécurisées même si elles quittent les appareils, les applications, l’infrastructure et les réseaux que l’organisation contrôle. Classifiez, étiquetez et chiffrez les données, et restreignez l’accès en fonction de ces attributs.

Icône disques de stockage de données.

Sécuriser l’infrastructure avec la Confiance Zéro

L’infrastructure, qu’il s’agisse de serveurs locaux, de machines virtuelles basées sur le cloud, de conteneurs ou de microservices, représente un vecteur de menace critique. Évaluez la version, la configuration et l’accès JIT pour durcir la défense. Utilisez la télémétrie pour détecter les attaques et les anomalies, bloquez et marquez automatiquement les comportements à risque, et prenez des mesures de protection.

Icône de diagramme réseau.

Sécuriser les réseaux avec la Confiance Zéro

Toutes les données sont au final accessibles sur l’infrastructure réseau. Les contrôles réseau peuvent fournir des contrôles critiques pour améliorer la visibilité et empêcher les personnes malveillantes de se déplacer par mouvement latéral sur le réseau. Segmentez les réseaux (et effectuez une microsegmentation plus profonde sur le réseau) et déployez une protection en temps réel contre les menaces, ainsi qu’un chiffrement, une surveillance et une analytique complets.

Icône d’engrenage.

Visibilité, automatisation et orchestration avec la Confiance Zéro

Dans nos guides sur la Confiance Zéro, nous définissons l’approche d’implémenter une méthodologie Confiance Zéro de bout en bout sur les identités, les points de terminaison et les appareils, les données, les applications, l’infrastructure et le réseau. Ces activités augmentent votre visibilité, ce qui vous donne de meilleures données pour prendre des décisions fiables. Avec chacun de ces éléments qui génèrent leurs propres alertes appropriées, nous avons besoin d’une fonctionnalité intégrée pour gérer le flux de données qui en résulte et ainsi nous défendre mieux contre les menaces et valider la fiabilité d’une transaction.

Avec la Confiance Zéro, nous nous écartons d’une perspective de confiance par défaut pour nous rapprocher d’une perspective de confiance par exception. Une fonctionnalité intégrée de gestion automatique de ces exceptions et alertes est importante pour vous permettre de trouver et de détecter plus facilement les menaces, y répondre et empêcher ou bloquer les événements indésirables dans votre organisation.

Confiance nulle et le décret américain 14028 sur la cybersécurité

L’ordre exécutif américain 14028, Amélioration de la cybersécurité de la nation, dirige les agences fédérales sur l’avancement des mesures de sécurité qui réduisent considérablement le risque de cyberattaques réussies contre l’infrastructure numérique du gouvernement fédéral. Le 26 janvier 2022, le Bureau de la gestion et du budget (OMB, Office of Management and Budget) a publié le mémorandum 22-09 fédéral sur la stratégie Confiance Zéro (Zero Trust Strategy) en soutien au décret-loi 14028.

Étapes suivantes

Sur ce site, vous trouverez les informations suivantes :

Pour plus de ressources et pour en savoir plus sur la Confiance Zéro, consultez nos ressources pour accélérer votre adoption de la Confiance Zéro.