Le concept consistant à travailler « sur n’importe quel appareil et depuis n’importe où » n’est pas nouveau, mais la pandémie de Covid-19 a mis en évidence les défis de sécurité du travail à distance.
Pour de nombreuses entreprises la question immédiate permettait à une main-d’œuvre désormais basée à domicile (dont beaucoup n’avaient aucune expérience de travail en dehors de l’environnement de bureau immédiat) de rester connectés et de maintenir leur productivité, sans compromettre la sécurité informatique.
La complexité accrue de fournir un accès aux services sur site et dans le cloud, ainsi qu’aux applications mobiles natives sur les appareils pendant que les employés travaillaient à domicile signifiait qu’un VPN sécurisé à lui seul n’était plus assez robuste pour les opérations quotidiennes ; il devait être complété par des outils et des pratiques supplémentaires. (Les serveurs VPN peuvent constituer un point de défaillance unique sur un réseau bloquant l’accès à distance, tandis que la nécessité d’installer un client VPN limite la possibilité de changer d’appareil. Les clients VPN peuvent également nécessiter beaucoup de processus, ce qui signifie que moins de mémoire est disponible pour exécuter des applications et des services. .)
Cela a mis en évidence la nécessité pour toutes les organisations d’adopter une approche de confiance zéro et le mantra « ne jamais faire confiance, toujours vérifier ». Les données constituent le plus grand atout d’une organisation et les principes de confiance zéro les protègent en utilisant un cadre en couches composé d’infrastructures, de réseaux, d’applications, de points de terminaison et de gestion des identités.
Gestion des identités et des accès (IAM)
L’identité gérée pour tous les utilisateurs est un principe fondamental du Zero Trust, et la fourniture d’une authentification unique (SSO) avec authentification multifacteur (MFA) est un élément essentiel. MFA exige qu’un utilisateur confirme fréquemment son identité via un mot de passe à usage unique, un SMS, une application biométrique, d’authentification sur l’appareil ou une application de reconnaissance vocale. Cela doit être traité avec sensibilité si les smartphones de l’entreprise ne sont pas disponibles et que l’identité doit être confirmée sur un appareil personnel, ce qui, selon certains utilisateurs, dépasse les limites même s’il s’agit d’une nécessité.
Le concept d’autorisation d’accès au moindre privilège garantit que les utilisateurs ne bénéficient que de l’accès au système requis pour effectuer leur travail ; des examens réguliers des accès et des privilèges ainsi que des recertifications garantissent qu’ils sont suivis pour chaque utilisateur. Des demandes d’accès exceptionnelles ou des connexions de pompiers peuvent être nécessaires à l’occasion pour un accès excessif au système, mais cela ne devrait être que sur une base à court terme.
Les outils IDAM peuvent être configurés pour mettre en œuvre un accès basé sur les risques ou basé sur des politiques. Ici, l’emplacement d’un utilisateur ou le point d’accès au réseau peut influencer si les exigences d’accès au système sont assouplies parce que l’utilisateur se connecte à partir d’un réseau de bureau sécurisé, a besoin d’une MFA ou est complètement bloqué, par exemple si le Wi-Fi public, comme dans un café magasin ou salon d’aéroport, est utilisé.
Points de terminaison de sécurité
Les principes de confiance zéro nécessitent également la sécurisation de tous les points finaux et applications dans toute l’organisation.
Les points de terminaison peuvent être des appareils utilisateur, des appareils IoT, des appareils connectés au réseau d’entreprise tels que des imprimantes et des serveurs, etc. Les applications font partie intégrante d’un lieu de travail, depuis les applications de productivité telles que la messagerie électronique, les feuilles de calcul, les outils d’enregistrement du temps, les plateformes de gestion de projet et les ressources humaines. systèmes, jusqu’aux applications spécialisées spécifiques à certains secteurs (pétrole et gaz, et services publics, par exemple), ainsi qu’aux réseaux sociaux et aux applications de streaming utilisées par les entreprises et les particuliers.
La nécessité de collaborer virtuellement tout en travaillant à domicile a obligé de nombreuses entreprises à mettre en œuvre pour la première fois un logiciel de collaboration sur des appareils (points de terminaison). Cependant, cela n’a pas toujours été simple ; l’application Zoom, largement utilisée, avait par exemple défis initiaux liés à un chiffrement de bout en bout faible augmentant le risque de « Zoombombing » et la possibilité que les données des utilisateurs soient exposées. Les RSSI ont dû rédiger de nouvelles conditions d’utilisation pour les logiciels de collaboration, qui protégeaient les données de l’entreprise sans compromettre les capacités opérationnelles.
Gestion des appareils de l’entreprise
Les appareils appartiennent à l’entreprise ou sont personnels (Bring Your Own Device ou BYOD). Quelle que soit la catégorie à laquelle ils appartiennent, tous les appareils, qu’ils soient de bureau, portables, tablettes ou smartphones, doivent disposer d’un système d’exploitation et d’applications à jour, être gérés de manière sécurisée, protéger les données de l’entreprise et être configurés. de sorte que l’accès au système dépend de l’emplacement.
Tous les ordinateurs de bureau et portables gérés par l’entreprise nécessitent l’installation d’un client VPN pour garantir que l’accès depuis le Wi-Fi privé ou public passe par un VPN d’entreprise sécurisé, et les outils de gestion logicielle centralisés peuvent distribuer les mises à jour du système d’exploitation, les installations d’applications et les correctifs logiciels. Parce qu’il suffit à un utilisateur d’installer un logiciel ou une application provenant d’un domaine public pour introduire un virus ou une vulnérabilité pouvant être exploitée par des acteurs malveillants, de nombreuses entreprises « verrouillent » les postes de travail et utilisent les outils appropriés pour garantir que toutes les applications et services installés sont entreprise agréée.
En plus d’un VPN sécurisé, la gestion des appareils mobiles (MDM) est essentielle pour les tablettes et smartphones des entreprises. Cela permet aux entreprises d’enregistrer chaque appareil auprès d’un propriétaire spécifique, de garantir que le système d’exploitation (OS) est tenu à jour, d’empêcher les appareils non conformes d’accéder aux applications et services de l’entreprise, de contrôler les applications qui peuvent être installées, de mettre sur liste blanche les versions approuvées des applications. et effacez les appareils s’ils sont compromis ou volés.
Gestion du BYOD
Le BYOD repousse les limites de la responsabilité des entreprises et des utilisateurs en matière de sécurité des appareils et des accès, la protection des données sensibles téléchargées sur les appareils personnels étant l’un des plus gros problèmes. La sécurité peut dépendre de quelque chose d’aussi individuel que le degré de proactivité du propriétaire de l’appareil lorsqu’il s’agit d’installer les correctifs et la sécurité du système d’exploitation, ainsi que les dernières versions des applications.
De nombreuses entreprises auront une politique BYOD qui documente les mesures de sécurité telles que : comment les appareils personnels peuvent être utilisés en toute sécurité ; applications interdites ; la politique d’accès aux données de l’entreprise ; et la nécessité d’installer le client VPN de l’entreprise pour accéder aux services sur site. Mais pour être véritablement sécurisé, investir dans une solution de gestion des points de terminaison telle que Microsoft Intune est crucial pour gérer tous les appareils (ordinateurs de bureau, tablettes, smartphones, etc.) et garantir qu’ils sont enregistrés auprès de propriétaires nommés, ainsi que pour assurer la gouvernance des appareils sur l’ensemble des appareils. domaines sur site, cloud et hybrides.
Les solutions de gestion des points de terminaison permettent aux entreprises de contrôler tous les appareils qui accèdent aux applications et services de l’entreprise. Des règles de conformité des appareils peuvent être définies pour garantir le respect des niveaux minimum du système d’exploitation (ou maximum si la dernière version du logiciel n’a pas été testée), ainsi que des versions d’application sur liste blanche et sur liste noire selon qu’elles sont requises ou interdites. D’autres contrôles incluent les versions minimales des logiciels, le déploiement de correctifs de sécurité et l’installation de logiciels prérequis (tels qu’un client VPN ou des outils de surveillance qui bloquent le téléchargement de fichiers à partir d’appareils personnels).
En outre, les solutions de gestion des points de terminaison permettent d’adapter les politiques basées sur les risques pour autoriser ou bloquer l’accès, ou pour contester l’authentification multifacteur si les règles de conformité ne sont pas respectées ou si l’accès depuis un emplacement moins fiable est demandé.
Un état d’esprit zéro confiance
La pandémie et les confinements qui en résultent mettent l’informatique et la cybersécurité sous les projecteurs. Mais quel que soit l’endroit où les gens travaillent physiquement, les équipes de cybersécurité sont continuellement confrontées à de nouveaux défis, avec la transition vers le cloud, l’émergence exponentielle des applications d’IA et des paysages hybrides distribués de plus en plus complexes qui font actuellement partie de cette évolution. Dans ce contexte, les politiques et mentalités de confiance zéro sont un élément essentiel pour assurer la sécurité des actifs d’une organisation contre un large éventail de risques ; leur adoption est une bonne pratique commerciale – et donc essentielle.
