Le Zero Trust est un cheminement : Concentrez-vous sur les données
Bastien Bobe, Directeur technique EMEA, chez Lookout
Vos employés travaillent désormais de n’importe où, en utilisant des terminaux et des réseaux que vous ne contrôlez pas pour se connecter aux ressources de l’entreprise dans le cloud. Si cette tendance a stimulé la productivité, elle a rendu la protection de votre organisation beaucoup plus délicate. Pour lutter contre les nouveaux risques, le concept de Zero Trust a souvent été identifié comme le cadre permettant de renforcer la sécurité tout en favorisant la productivité. Mais l’un des problèmes réside dans le fait qu’il n’en existe pas de définition unique. Certains affirment que l’authentification multifacteurs (MFA)est suffisante, tandis que d’autres solutions vont plus loin.
D’une manière générale, le Zero Trust est l’idée que toutes les entités doivent être régulièrement authentifiées avant de se voir accorder un accès. Lorsque la majorité de vos utilisateurs, terminaux et données ne résident plus à l’intérieur d’un périmètre de sécurité, vous ne pouvez plus supposer qu’un utilisateur est digne de confiance. Au milieu de la complexité qui accompagne l’adoption du cloudil est difficile pour les services de sécurité de savoir par où commencer. Mais réfléchissez à ce qui importe à votre entreprise. Lorsque vous déployez une solution de détection et de réponse pour les endpoints, vous protégez vos données contre les risques liés aux endpoints. Il en va de même pour la sécurité du cloud. Vous protégez les données du cloud contre les accès malveillants. Pour déployer efficacement le Zero Trust, vous devez vous concentrer sur tous les facteurs de risque qui entourent vos données.
Commencez par les données : La plupart des organisations ont tendance à se concentrer sur la façon dont les personnes travaillent : par exemple, en demandant aux employés d’utiliser des VPN avec un deuxième facteur d’authentification. Et pourtant, l’accent ne devrait pas être mis sur ce qu’il ne faut pas faire, mais sur vos données. Les employés créent et manipulent constamment des données. Étant donné que l’objectif final d’un pirate est de voler des données, il ne suffit pas d’authentifier un utilisateur au moment de l’accès. Vous devez plutôt vous concentrer sur les types de données que vous possédez, sur la manière dont elles sont consultées et modifiées et sur les niveaux de risque fluctuants de l’utilisateur et des terminaux qu’il utilise.
Déterminez vos priorités : Les employés créent des données quotidiennement. Chaque activité génère et modifie des données, chacune ayant son propre cycle de vie. Il serait alors épuisant de suivre et de protéger toutes ces données et la manière dont elles sont traitées. La première étape consiste à classer vos données en fonction de leur sensibilité, afin de pouvoir établir un ordre de priorité pour les données les plus importantes à protéger. Le Zero Trust peut être un processus sans fin. Au lieu d’essayer de créer une stratégie à l’échelle de l’organisation, concentrez-vous sur vos applications les plus importantes qui hébergent les données sensibles.
Concentrez-vous sur la manière dont les données sont consultées : L’étape suivante consiste à examiner les modes de partage et d’accès aux données les plus courants. Votre équipe partage-t-elle principalement dans le cloud ? Ou bien les documents sont-ils envoyés par e-mail ou par Slack ? Il est essentiel de comprendre comment les informations circulent. Sinon, vous ne pourrez pas les protéger efficacement. Par exemple, si un dossier général dans le cloud de votre organisation contient plusieurs sous-dossiers, dont certains sont protégés, cela semble sûr, jusqu’à ce que quelqu’un partage le dossier principal avec un autre groupe et que cela modifie les paramètres de partage des sous-dossiers. Vos données privées sont désormais accessibles à un grand nombre de personnes qui ne devraient pas y avoir accès.
Il ne suffit pas d’acheter une solution : Vous avez probablement déjà entendu : “il y a une application pour tout”. Et en général, c’est vrai. Il semble y avoir une solution logicielle pour chaque problème. Mais ce n’est pas le cas pour le Zero Trust. De nombreux fournisseurs tentent de vendre ce qu’ils appellent des “solutions” pour mettre en œuvre la sécurité des données Zero Trust, mais ce n’est pas ainsi que cela fonctionne. Le Zero Trust est un état d’esprit, pas un problème résolu par un logiciel. Si vous souhaitez mettre en place le Zero Trust, vous devez comprendre ce que c’est et comment le mettre en place de manière durable.
Formez vos collaborateurs : La deuxième étape consiste à obtenir l’adhésion de votre équipe. Vous pouvez acquérir des solutions et mettre en place des règles, mais si vos collaborateurs ne comprennent pas ce qu’ils font, ils entraveront vos efforts et risqueront de mettre vos données en danger. Un sondage récent montrait que 80 % des participants inventoriaient encore leurs données à l’aide de tableurs. Par ailleurs, selon une enquête réalisée en 2021, seuls 22 % des utilisateurs de Microsoft Azure avaient recours au MFA. Ces chiffres confirment l’idée qu’il faut commencer par les collaborateurs.
Avant d’investir dans une solution multi casquette qui ne fonctionnera pas, apprenez à connaître vos données, comprenez quelles sont vos données les plus sensibles qui doivent être prioritaires et protégées et comment elles sont traitées, puis concentrez-vous sur la formation et l’éducation de votre personnel. Le Zero trust semble être une excellente idée, mais il ne fonctionne que si vous comprenez qu’il s’agit d’une philosophie, d’un cadre, qui doit être mis en œuvre en plusieurs étapes et renforcé en permanence, et non d’une solution ponctuelle.