Une grande majorité d’entre nous télétravaillent suite à la pandémie de la COVID-19. Les entreprises doivent faire face à une myriade de difficultés pendant cette période et il est essentiel que les responsables d’entreprise continuent de voir la sécurité comme une priorité.

La raison ? La COVID-19 a provoqué un changement radical sur le plan des menaces : les cybercriminels et les groupes associés à des États multiplient les attaques et il y a aucun signe de ralentissement. Les entreprises doivent vite s’adapter à cette nouvelle réalité en trouvant un moyen plus sûr de protéger leurs données et leurs ressources.

C’est peut-être le moment d’envisager une approche « Confiance zéro ».

Dans « Confiance zéro pour une sécurité maximale », j’explique comment l’approche qui repose sur l’absence de confiance, a été conçue en 2010 par John Kindervag, alors analyste en chef chez Forrester Research, suppose que tout ce qui s’approche d’un élément du réseau est hostile. Par conséquent, tout ce qui tente d’accéder au réseau doit être contrôlé. Le principe de moindre privilège « Refus par défaut, autorisation parfois », même dans un environnement sûr, est extrêmement efficace pour réduire le nombre d’incidents liés à la sécurité.

Effectuer ce changement implique une planification des solutions utilisées et au niveau du personnel de l’entreprise. Les entreprises qui souhaiterait instaurer un environnement basé sur la Confiance zéro devront changer de mode de conception et d’élaboration de leurs applications et services ; ces entreprises devront également s’assurer que les parties concernées comprennent les avantages de cette démarche avant de passer à l’action.

Cela dit, une fois ces obstacles franchis, les entreprises arriveront à un nouveau niveau de sécurité qui permettra d’améliorer les pratiques de l’entreprise pendant encore de nombreuses années, dans des contextes divers, celui dans lequel nous sommes en ce moment par exemple.

Si votre entreprise a décidé d’effectuer une démarche « Confiance zéro », voici les quatre étapes clés à organiser :

  1. Comprendre quel accès est nécessaire et pour quel élément. Il s’agit d’une démarche standard quel que soit le contexte – pour tous les éléments, appareils, services, comptes et données notamment, mais qui est indispensable dans le contexte actuel de généralisation du télétravail. Par exemple, un serveur de base de données n’est accessible que via une application avec des identifiants de connexion spécifiques via des ports de réseau spécifiques ; les documents stockés sur un serveur de fichiers ne sont accessibles que par certains utilisateurs à partir d’un emplacement spécifique.
  2. Mettre en place un système numérique et unifié pour l’identification. La démarche « Confiance zéro » exige la mise en place de ce système unique pour que soient effectués les contrôles d’identité numérique nécessaires. Ce système est essentiel pour valider et accorder l’accès aux utilisateurs ou entités, pour comprendre le contexte de la demande d’accès et déterminer la bonne règle à suivre pour l’accès demandé. Le fait que le système soit unifié est particulièrement important. En effet, beaucoup d’entreprises ont encore un système d’identification différencié par service et département au sein de l’entreprise.
  3. Définir une politique d’accès robuste. Même lorsqu’un utilisateur ou une entité est validé après avoir été correctement authentifié, cela ne signifie pas que cette personne/entité aura toujours un accès total à un élément. Dans un environnement « Confiance zéro » puissant, les bonnes pratiques sont appliquéespour accéder au moindre privilège. En fait, si elles ont été correctement développées, les bonnes pratiques permettent de détecter les activités anormales comme un comportement malveillant ; c’est précisément l’objectif du concept de « Confiance zéro » : réduire de manière proactive le nombre d’incidents liés à la sécurité.
  4. Surveiller et optimiser tous les accès autorisés et réagir rapidement en cas d’accès non autorisés. Dans un environnement « Confiance zéro » efficace, un centre d’opérations de sécurité doit surveiller en permanence tous les accès, autorisés ou non, pour assurer la cyberdéfense de l’entreprise. Tout accès non autorisé indique qu’une anomalie s’est produite et l’équipe chargée de la cybersécurité doit enquêter pour déterminer si une attaque est en cours. Pour ce qui est des accès autorisés, l’entreprise doit procéder à un examen constant des pratiques pour s’assurer que les accès sont toujours conformes aux exigences.

Un dernier conseil : l’approche « Confiance zéro » doit être déployée par phases plutôt qu’en une seule fois. Un déploiement échelonné permet une transformation facile à réaliser, il permet de passer du mode « faire confiance mais contrôler » en place jusque-là au mode « ne pas faire confiance et contrôler » sans perturber d’autres parties de l’entreprise. Ce dernier point est particulièrement important car, dans la situation actuelle, un changement progressif  a plus de chances d’être accepté par l’entreprise et son personnel  pour la plupart en télétravail.