Comment protéger votre entreprise grâce à une approche de zéro confiance
Webinaire présenté par Ameet Naik, directeur, marketing des produits pour le service périphérique d’accès sécurisé (Secure Access Service Edge, SASE) de Zscaler et David Senf, stratège en cybersécurité à l’échelle nationale de Bell.
L’approche de zéro confiance (zero-trust) part du principe qu’un pirate informatique a déjà accès à une partie de l’entreprise. Il n’y a pas de périmètre de confiance, et des incidents de sécurité peuvent survenir sur le réseau traditionnel ou à distance en tout temps. Aussi pessimiste que cela puisse paraître, cette approche tient compte du fait qu’un employé pourrait cliquer sur un lien d’hameçonnage, qu’un logiciel pourrait ne pas avoir de correctif, qu’un service en nuage pourrait être compromis ou que les mots de passe des comptes pourraient être exposés quelque part dans l’entreprise.
Dans le cadre d’un webinaire récent animé par la revue Canadian Security, le stratège en cybersécurité à l’échelle nationale de Bell, David Senf, et le directeur, marketing des produits pour le service périphérique d’accès sécurisé (Secure Access Service Edge, SASE) de Zscaler, Ameet Naik, ont discuté de la façon dont une approche de zéro confiance aide les entreprises à sécuriser leurs réseaux, leurs appareils, leurs données et leurs applications de façon rentable tout en améliorant l’expérience utilisateur. Ils ont expliqué pourquoi le SASE est au cœur des pratiques de zéro confiance.
Les cyberattaques évoluent
L’intelligence artificielle (IA) permet aux cybercriminels de lancer beaucoup plus d’attaques qu’auparavant. Dans notre étude récente sur l’état de la cybersécurité au Canada, nous avons constaté que deux tiers des entreprises canadiennes ont été victimes d’une atteinte à la sécurité l’an dernier; un nombre qui, selon certaines estimations, pourrait même être plus élevé. Senf a souligné que, selon la même étude, les facteurs qui contribuent le plus à la performance d’une entreprise en matière de sécurité étaient les facteurs liés à la gouvernance. Une bonne gouvernance est essentielle à la définition et à l’application de la politique de sécurité, qui est au cœur de l’efficacité de la pratique de zéro confiance.
« Toutefois, un autre élément est nécessaire pour passer de la gouvernance aux garde-fous technologiques que nous avons en place », a déclaré Senf. « Individuellement, la gouvernance n’est pas très utile. Elle ne fait qu’exister. C’est la politique qui fait le lien. Nous devons donc être en mesure d’établir la meilleure politique possible grâce à une bonne gouvernance, puis de la déployer dans nos garde-fous technologiques ».
Cela signifie que les entreprises doivent adopter une nouvelle approche pour sécuriser leur technologie et leurs données; une approche qui ne dépend pas de l’augmentation des budgets de sécurité.
Repenser les approches en matière de sécurité
La cybersécurité traditionnelle passe par l’établissement d’un périmètre (p. ex. un pare-feu, un contrôle d’accès au réseau, des systèmes de protection contre les intrusions) autour du réseau d’une entreprise. Cette approche repose sur l’idée que seuls les utilisateurs autorisés peuvent franchir le périmètre. Elle considère donc que toute personne à l’intérieur du périmètre ne présente aucun danger pour la sécurité et que peu de contrôles supplémentaires sont requis. Les pirates informatiques ont prouvé qu’ils pouvaient infliger rapidement beaucoup de dommages dans ce modèle.
En revanche, l’approche de zéro confiance considère chaque tentative d’accès à des données ou à des applications comme étant potentiellement malveillante, peu importe son origine. Cette vérification continue est basée sur plusieurs facteurs, comme l’identité de l’utilisateur, l’état et l’emplacement de l’appareil, ainsi que les données ou l’application spécifiques auxquelles on accède. Elle est également fondée sur des renseignements sur les menaces concernant la fiabilité des liens sur lesquels les employés cliquent, les services en nuage qu’ils souhaitent utiliser et les sites Web qu’ils doivent consulter.
L’approche traditionnelle était logique lorsque les utilisateurs accédaient au réseau à partir du même bureau. Aujourd’hui, de nombreux employés travaillent à distance, et un plus grand nombre de fournisseurs et d’autres partenaires externes doivent également avoir accès au réseau. Cet accès est donc très réparti.
Par opposition, l’approche de zéro confiance évalue chaque interaction avec les applications, les services en nuage et les données d’une entreprise en fonction de politiques définies sur qui a accès à quoi, et à quelles fins. Senf a noté que les pierres angulaires de l’approche zéro confiance sont 1) la réduction de la détectabilité, soit « la capacité du cybercriminel de savoir quelles applications sont sur mon réseau, quelles données sont présentes, à quels services en nuage il pourrait avoir accès » et 2) la réduction du mouvement latéral d’une application ou d’un appareil à un autre.
Non seulement cette approche est plus sécuritaire, mais elle réduit également la complexité et les coûts tout en offrant une meilleure expérience utilisateur, ce qui est essentiel pour assurer le respect des politiques et des pratiques de sécurité.
« La sécurité ne peut pas être assurée au détriment de l’expérience utilisateur », a déclaré Naik. « Nous avons vu pendant longtemps des stratégies comme l’infrastructure de bureau virtuel, qui aident à protéger les données, mais qui offrent une expérience utilisateur nettement inférieure. Lorsque cela se produit, les utilisateurs trouvent d’autres solutions pour les éviter ».
Qu’en est-il de l’IA pour la cybersécurité?
L’essor de l’IA rend la nécessité de passer à une approche de sécurité basée sur l’approche zéro confiance encore plus pressante. Bien que les cybercriminels puissent utiliser l’IA pour lancer des attaques plus sophistiquées, les entreprises peuvent également s’en servir pour améliorer les mesures de sécurité existantes, y compris la pratique de zéro confiance.
« La seule façon de garder une longueur d’avance est de vous servir de l’IA de votre côté », a affirmé Naik. « La surveillance de la sécurité doit être effectuée continuellement, et c’est là que l’IA a le plus grand potentiel ».
L’IA peut par exemple améliorer la sécurité en tirant parti des renseignements de votre entreprise pour obtenir plus de contexte lors de l’évaluation des interactions. Naik a donné l’exemple d’un employé qui effectue un transfert important vers son compte Dropbox personnel. L’employé peut simplement partager un fichier trop volumineux pour être envoyé par courriel avec un client. Mais s’il a également récemment donné sa démission, l’IA pourrait faire le lien entre ces deux événements et signaler le transfert comme suspect.
Un filet de sécurité pour vos données
Le cyberrisque est un risque d’affaires, et les enjeux en matière de protection des données n’ont jamais été aussi élevés, exigeant une vigilance constante de la part de toutes les personnes concernées. Toutefois, puisque les cybercriminels lancent des attaques de plus en plus complexes, la vigilance et la formation ne suffisent plus. Une approche de confiance zéro, comme les solutions offertes par Bell et Zscaler, fournit à votre organisation ce dont elle a besoin pour assurer la sécurité de ses données et de ses systèmes, en offrant une sécurité efficace et une expérience utilisateur transparente.
Pour en savoir plus sur ce qu’une approche de zéro confiance en matière de sécurité peut faire pour votre entreprise, regardez l’enregistrement complet du webinaire.
Période de questions
En tant que professionnel de la sécurité, comment parlez-vous à votre haute direction afin de communiquer le risque comme un problème d’affaires fondamental?
À propos de la connexion de votre réseau à domicile à une application hébergée sur un serveur distant sécurisé par ZTNA-SASE – y a-t-il des pratiques exemplaires pour la mettre en œuvre?
Le SASE peut-il aider à contrer les attaques de piratage psychologique?