Un réseau à confiance nulle est précisément ce que son nom laisse entendre. Le réseau ne fait confiance à rien, ni personne ni machine, et demande à tous ceux sur le réseau d’être authentifiés, autorisés et constamment validés. Avant l’arrivée de ce type de réseau, aussi appelé réseau à confiance zéro, les environnements informatiques n’avaient pas besoin d’authentifier chaque interaction au sein du réseau. Mais les choses ont changé.
Imaginez un petit bureau avec un seul agent de sécurité. Il vérifie les cartes d’identité à l’entrée, sauf pour les gens qu’il reconnaît. Il doit examiner le manifeste des livraisons, mais il le fait de façon parfois superficielle, surtout pour les manifestes identiques semaine après semaine. Il ne sait pas trop ce qui se passe à l’intérieur, à part ce qu’il voit lors de ses rondes occasionnelles.
Vous avez sans doute relevé les failles dans ce scénario. Une personne en qui il fait confiance depuis des années pourrait très bien être celle qui commettra un jour des vols. Un manifeste qui n’est pas bien examiné pourrait chercher à faire entrer en douce quelque chose de nuisible dans le bâtiment. De plus, le simple fait que des gens sont autorisés à entrer dans le bâtiment ne veut pas dire qu’ils ne tenteront pas d’accéder à des locaux qui leur sont interdits.
En somme, c’est de cette façon que les réseaux fonctionnaient avant l’adoption des réseaux à confiance nulle. Dans un bâtiment se rapprochant du modèle de réseau à confiance nulle, chaque mouvement est authentifié chaque fois. Chaque manifeste est examiné à la loupe. Les rondes superficielles et les passe-droits à l’entrée sont chose du passé. Toutes les personnes doivent prouver qu’elles sont bien qui elles sont, qu’elles sont supposées être là où elles sont et qu’elles sont autorisées à faire ce qu’elles font.
La sécurité des réseaux traditionnels reposait sur le bon vieux principe « faisons confiance, mais vérifions ». Lorsqu’un utilisateur de confiance passe le point terminal du réseau, il est libre. Mais comme le passage répandu au télétravail nous l’a montré, il est difficile de mesurer là où se trouve le point terminal ou de délimiter le périmètre du réseau d’une entreprise. Le principe de confiance sous vérification est dépassé avec la migration des entreprises vers le nuage. La métaphore n’est plus valide étant donné qu’il n’y a plus de bâtiment et que l’entreprise est dorénavant un réseau de gens. Comment établir un périmètre dans ces conditions?
Passons en revue certains des aspects importants d’une infrastructure informatique et examinons les défis liés à l’adoption d’un modèle à confiance nulle.
Plateformes traditionnelles : Les applications traditionnelles peuvent recourir à une approche fragmentaire de la cybersécurité, ce qui est favorable aux failles. Le trafic entre systèmes pourrait poser problème.
Engagement en TI : On ne peut implémenter un réseau à confiance nulle en un jour, puis passer à autre chose. Il faut l’engagement continu de la direction.
Internet des objets : Le nombre d’objets connectés connaît une croissance fulgurante, ce qui implique une zone d’attaque plus vaste que jamais. Bon nombre d’appareils connectés n’ont pas été conçus dans une optique de sécurité d’entreprise. En fait, certains n’ont même aucun mot de passe ni aucune mise à jour automatique. Les interdire sur le réseau ne garantit pas qu’aucun employé ne les utilisera.
Nuage : Les applications infonuagiques nécessitent des couches multiples de cybersécurité, surtout lorsque les utilisateurs se connectent à partir d’un réseau public. Les principes de confiance nulle exigent une vérification constante de ces services et des entreprises qui les offrent.
Utilisateurs : Les utilisateurs sont le maillon faible de tout plan de cybersécurité. Ils doivent recevoir une formation sur les notions de base en cybersécurité et comprendre leur rôle dans la protection du réseau.
Les réseaux à confiance nulle continueront de prendre leur essor dans les prochaines années en tant que solution de rechange bien plus sécuritaire que les réseaux privés virtuels, communément appelés VPN. Les entreprises examineront les modèles de réseaux informatiques comme le réseau étendu défini par logiciel (SD-WAN) géré et le réseau géré en tant que service, des réseaux conçus autour du principe de la confiance nulle.
The comments are closed.
OU
Remplissez le formulaire ci-dessous, et l’un de nos experts vous contactera.