Qu’est-ce qu’une Confiance Zéro ?
Confiance nulle est une stratégie de sécurité. Il ne s’agit pas d’un produit ou d’un service, mais d’une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivant :
- Vérifier explicitement
- Administration selon le principe des privilèges minimum
- Supposer une violation
Principes directeurs de la Confiance Zéro
| Vérifier explicitement | Administration selon le principe des privilèges minimum | Supposer une violation |
|---|---|---|
| Authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. | Limitez l’accès utilisateur avec l’accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
C’est la base de la Confiance Zéro. Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».
Elle est conçue pour s’adapter aux complexités de l’environnement moderne, qui englobe la main-d’œuvre mobile et protège les personnes, les appareils, les applications et les données où qu’ils se trouvent.
Une approche Confiance Zéro doit être appliquée sur l’intégralité du patrimoine numérique et faire office de philosophie de sécurité intégrée et de stratégie de bout en bout. Pour ce faire, il faut implémenter des contrôles et des technologies Confiance Zéro sur six éléments fondamentaux. Chacun d’eux est une source de signal, un plan de contrôle pour la mise en œuvre et une ressource critique à défendre.
Les différents besoins de l’organisation, les implémentations technologiques existantes et les phases de sécurité ont tous une incidence sur la planification de l’implémentation d’un modèle de sécurité Confiance Zéro. En utilisant notre expérience pour aider les clients à sécuriser leurs organisations et implémenter notre propre modèle Confiance Zéro, nous avons développé les instructions suivantes pour évaluer si vous êtes prêt et vous aider à établir un plan visant à obtenir la Confiance Zéro.
Vous pouvez organiser votre approche de la Confiance Zéro autour de ces piliers informatiques clés :
|
|
Sécuriser les identités avec la Confiance Zéro Les identités, qu’elles représentent des personnes, des services ou des appareils IoT, définissent le plan de contrôle de la Confiance Zéro. Lorsqu’une identité tente d’accéder à une ressource, vérifiez cette identité avec une authentification forte et assurez-vous que l’accès est conforme et normal pour cette identité. Suivez les principe du droit d’accès minimal. |
|
|
Sécuriser les points de terminaison avec la Confiance Zéro Une fois que l’accès à une ressource a été accordé à une identité, les données peuvent circuler vers divers points de terminaison différents : des appareils IoT vers des smartphones, des appareils BYOD vers des appareils gérés par des partenaires et des charges de travail locales vers des serveurs hébergés dans le cloud. Cette diversité crée une énorme surface d’attaque. Surveillez et assurez l’intégrité et la conformité des appareils pour en sécuriser l’accès. |
|
|
Sécuriser les applications avec la Confiance Zéro Les applications et les API fournissent l’interface par laquelle les données sont consommées. Elles peuvent être des applications locales existantes, des charges de travail déplacées dans le cloud par lift-and-shift ou des applications SaaS modernes. Appliquez des contrôles et des technologies pour découvrir le Shadow IT, assurez des autorisations in-app appropriées, contrôlez l’accès en vous basant sur l’analytique en temps réel, surveillez les comportements anormaux, contrôlez les actions des utilisateurs et validez les options de configuration sécurisée. |
|
|
Sécuriser les données avec la Confiance Zéro En fin de compte, les équipes de sécurité protègent les données. Dans la mesure du possible, les données doivent toujours être sécurisées même si elles quittent les appareils, les applications, l’infrastructure et les réseaux que l’organisation contrôle. Classifiez, étiquetez et chiffrez les données, et restreignez l’accès en fonction de ces attributs. |
|
|
Sécuriser l’infrastructure avec la Confiance Zéro L’infrastructure, qu’il s’agisse de serveurs locaux, de machines virtuelles basées sur le cloud, de conteneurs ou de microservices, représente un vecteur de menace critique. Évaluez la version, la configuration et l’accès JIT pour durcir la défense. Utilisez la télémétrie pour détecter les attaques et les anomalies, bloquez et marquez automatiquement les comportements à risque, et prenez des mesures de protection. |
|
|
Sécuriser les réseaux avec la Confiance Zéro Toutes les données sont au final accessibles sur l’infrastructure réseau. Les contrôles réseau peuvent fournir des contrôles critiques pour améliorer la visibilité et empêcher les personnes malveillantes de se déplacer par mouvement latéral sur le réseau. Segmentez les réseaux (et effectuez une microsegmentation plus profonde sur le réseau) et déployez une protection en temps réel contre les menaces, ainsi qu’un chiffrement, une surveillance et une analytique complets. |
|
|
Visibilité, automatisation et orchestration avec la Confiance Zéro Dans nos guides sur la Confiance Zéro, nous définissons l’approche d’implémenter une méthodologie Confiance Zéro de bout en bout sur les identités, les points de terminaison et les appareils, les données, les applications, l’infrastructure et le réseau. Ces activités augmentent votre visibilité, ce qui vous donne de meilleures données pour prendre des décisions fiables. Avec chacun de ces éléments qui génèrent leurs propres alertes appropriées, nous avons besoin d’une fonctionnalité intégrée pour gérer le flux de données qui en résulte et ainsi nous défendre mieux contre les menaces et valider la fiabilité d’une transaction. |
Avec la Confiance Zéro, nous nous écartons d’une perspective de confiance par défaut pour nous rapprocher d’une perspective de confiance par exception. Une fonctionnalité intégrée de gestion automatique de ces exceptions et alertes est importante pour vous permettre de trouver et de détecter plus facilement les menaces, y répondre et empêcher ou bloquer les événements indésirables dans votre organisation.
Confiance nulle et le décret américain 14028 sur la cybersécurité
L’ordonnance 14028 des États-Unis, Amélioration de la cybersécurité de la nation, dirige les agences fédérales sur l’avancement des mesures de sécurité qui réduisent considérablement le risque de cyberattaques réussies contre l’infrastructure numérique du gouvernement fédéral. Le 26 janvier 2022, le Bureau de la gestion et du budget (OMB, Office of Management and Budget) a publié le mémorandum 22-09 fédéral sur la stratégie Confiance Zéro (Zero Trust Strategy) en soutien au décret-loi 14028.
Confiance nulle pour Microsoft 365
Microsoft 365 est volontairement conçu avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à intégrer la Confiance Zéro à votre environnement. La plupart des fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS utilisées par votre organisation et aux données de ces applications.
Pour commencer, consultez ces ressources clés :
- Plan de déploiement Confiance Zéro avec Microsoft 365
- Guide d’installation du modèle de sécurité Microsoft Confiance nulle
- Guide de déploiement avancé pour Confiance nulle avec Microsoft 365 (nécessite une connexion) dans le Centre d'administration Microsoft 365
Confiance nulle pour Microsoft Azure
Ces articles vous aident à appliquer les principes de Confiance nulle à vos charges de travail et services dans Microsoft Azure en fonction d’une approche multidisciplinaire de l’application des principes Confiance nulle.
- Azure IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Applications IaaS dans Amazon Web Services
- Microsoft Sentinel et Microsoft 365 Defender
Liens connexes
Confiance nulle Vue d’ensemble : cette vidéo fournit des informations sur :
- définition Confiance nulle
- Principes de la Confiance Zéro
- Confiance nulle concepts fondamentaux
- Gains rapides du plan de modernisation rapide (RaMP)
Confiance nulle - Groupe ouvert : cette vidéo fournit une perspective sur les Confiance nulle d’un organization de normes.
Étapes suivantes
Sur ce site, vous trouverez les informations suivantes :
- Concepts et objectifs de déploiement
- Confiance nulle pour les petites entreprises
- Les conseils raMP (Rapid Modernization Plan) sont basés sur des initiatives et vous donnent un ensemble de chemins de déploiement pour implémenter plus rapidement les couches clés de protection.
- Conseils en matière d’intégration pour les éditeurs de logiciels indépendants
- Conseils pour les développeurs