Voici un scénario qui était improbable il y a seulement deux ans : télétravailler en permanence de Honolulu à votre poste financier à La défense. En fait, selon Upwork, près de 5 millions de personnes aux États-Unis ont déménagé en raison du travail à distance depuis 2020, et 19 autres millions prévoient de le faire.
Avant la pandémie, il était relativement simple de créer des politiques d’accès car les emplacements de vos utilisateurs étaient généralement fixes. Par exemple, disons que tout le monde est censé travailler à partir de votre bureau de Paris et qu’une demande de connexion vous parvient d’un café à New-York. La décision est facile à prendre : il suffit de refuser l’accès.
Cependant, le travail à distance et le travail hybride devenant la norme, vos utilisateurs peuvent se trouver n’importe où et une politique de ce type nuirait à la productivité. D’où la question suivante : alors que les périmètres des bureaux ne sont plus pertinents, comment protéger vos données tout en soutenant vos employés qui travaillent depuis n’importe où ?
Zero Trust : en qui ou en quoi avez-vous confiance ?
De nombreuses entreprises réalisent que la sécurité doit s’adapter pour soutenir les initiatives de travail à distance. La question qui se pose alors est la suivante : comment ? Il est facile d’adhérer à un cadre populaire tel que le Zero Trust c’est-à-dire qu’aucune entité ne devrait se voir accorder un accès tant que son niveau de risque n’a pas été vérifié et accepté, mais il n’existe pas de feuille de route claire sur la manière d’y parvenir.
Le National Institute of Standards and Technology (NIST) définit le Zero Trsut comme l’ensemble des paradigmes évolutifs qui font passer la cybersécurité de paramètres statiques, basés sur le réseau, à une focalisation sur les utilisateurs, les actifs et les ressources. En d’autres termes, pour évaluer correctement les risques, vous devez suivre non seulement l’utilisateur et ses terminaux, mais aussi l’emplacement et les réseaux utilisés, ainsi que les données et les applications auxquelles il cherche à accéder.
La sécurité doit être un travail d’équipe : le modèle de responsabilité partagée
Dans un environnement distant ou hybride, il est presque impossible d’anticiper les incidents de sécurité qui pourraient survenir. Le Zero Trust offre une solution élégante pour résoudre ce dilemme en partant du principe qu’aucune entité n’est digne de confiance en premier lieu. Pour rassembler la grande quantité de données télémétriques nécessaires à cette analyse approfondie, les entreprises ne peuvent pas se fier uniquement aux données du fournisseur de cloud computing.
Cela crée un modèle de « responsabilité partagée », dans lequel, par exemple, votre solution de sécurité mobile fournit le contexte permettant de savoir si le terminal mobile est compromis ou connecté à un réseau à risque. Vous pourriez également avoir un CASB (Cloud Access Security Broker) qui examine le comportement de l’utilisateur final ou les types de données traitées.
Adopter une approche plus globale de la sécurité
Vos employés accèdent à des applications en cloud à partir d’à peu près n’importe quel appareil pour rester productifs, et vos anciens outils basés sur le réseau ne peuvent plus fournir la visibilité et le contrôle dont vous avez besoin pour protéger les données de l’entreprise.
Que vous construisiez votre empreinte sur site, sur le cloud ou sur une architecture hybride, la sécurité doit être un effort convergent, où l’application cloud fonctionne en parallèle avec d’autres solutions. Pour atteindre le Zero Trust, vous avez besoin de la télémétrie de toutes vos applications, de tous vos utilisateurs et de tous vos Endpoints, afin que les décisions d’accès protègent vos données tout en favorisant la productivité.