Qu’est-ce qu’une architecture Zero Trust ?

L’importance d’une architecture Zero Trust 

Les entreprises connaissent aujourd’hui une transformation numérique rapide, portée par l’adoption de services cloud, d’environnements de travail hybrides, de dispositifs IoT et d’applications SaaS. Cette évolution a rendu obsolètes les architectures de sécurité réseau traditionnelles, révélant des faiblesses critiques dans les modèles basés sur le périmètre, principalement construits sur des pare-feu etdes VPN. Ces outils traditionnels, conçus pour un environnement sur site, n’ont pas s’adapter à l’agilité et à la sophistication requises par les entreprises modernes, et augmentent même les cyber-risques.

L’architecture Zero Trust (ZTA) s’est imposée comme la solution à ces défis. En repensant fondamentalement la sécurité selon une approche « ne jamais faire confiance, toujours vérifier », l’architectureZero Trust surmonte les vulnérabilités des architectures traditionnelles et garantit une connectivité sécurisée any-to-any pour les utilisateurs, les appareils, les workloads, les systèmes IoT/OT et les partenaires B2B. Cet article explore les raisons pour lesquelles les architectures traditionnelles échouent et comment le Zero Trust transforme la sécurité pour répondre aux menaces modernes.

Les défauts des architectures traditionnelles 

Les architectures basées sur le périmètre ont été conçues pour une époque où les utilisateurs, les applications et les données se trouvaient principalement sur site, connectés au réseau de l’entreprise. Ces architectures s’appuient principalement sur des pare-feu et des VPN pour sécuriser le périmètre du réseau, tout en accordant un large accès aux entités au sein du réseau. Si ce modèle centré sur le réseau fonctionnait de manière acceptable par le passé, il s’avère de moins en moins efficace dans les environnements actuels distribués et basés sur le cloud.

Comment fonctionnent les architectures traditionnelles 

Les architectures traditionnelles s’articulent autour du réseau et leurs outils sous-jacents, tels que les pare-feu et les VPN, doivent :

• Établir un périmètre de sécurité : tout ce qui se trouve à l’intérieur du réseau est considéré comme fiable, tout ce qui se trouve à l’extérieur est considéré comme non fiable et les pare-feu sont essentiellement conçus comme des gardiens qui séparent les deux parties.
• Backhauler le trafic : les utilisateurs distants doivent se connecter à des data centers centralisés et au réseau via un VPN pour accéder aux applications (y compris les applications cloud hors site), ce qui ajoute de la latence et de la complexité.
• Analyser le trafic : les pare-feu effectuent des analyses sommaires du trafic entrant et sortant du réseau, mais ils laissent souvent passer des menaces qu’ils sont incapables de détecter et peinent à sécuriser le trafic chiffré.

Les quatre principales faiblesses des architectures traditionnelles

1. Surface d’attaque étendue  : conçus pour permettre aux utilisateurs légitimes d’accéder au réseau, les pare-feu et les VPN disposent d’adresses IP publiques, ce qui expose le réseau aux cybercriminels actifs sur le web. À mesure qu’elles s’étendent sur de nouveaux sites, se tourne vers le cloud et adoptent le télétravail, les entreprises multiplient les extensions de réseau, les pare-feu et les VPN, et les adresses IP publiques. La surface d’attaque s’agrandit en conséquence, ce qui augmente la vulnérabilité.
2. Compromissions : qu’ils soient déployés sous forme d’appliances virtuelles ou matérielles, les pare-feu ne disposent pas des performances nécessaires pour inspecter le trafic chiffré à grande échelle. 95 % du trafic web actuel étant chiffré, les entreprises sont dans l’incapacité de détecter la majorité des cybermenaces dont elles sont la cible, dans la mesure où la plupart des menaces sont désormais dissimulées dans le trafic TLS/SSL.
3. Déplacement latéral des menaces : une fois qu’ils ont franchi le périmètre, les hackers peuvent se déplacer latéralement sur le réseau, et accéder aux ressources connectées. Bien que la segmentation du réseau par le biais de pare-feu supplémentaires soit souvent proposée comme solution, elle ne fait qu’augmenter les risques, la complexité et les coûts, sans pour autant résoudre le problème sous-jacent : l’architecture basée sur les pare-feu et le périmètre, elle-même.
4. Perte de données : l’incapacité des pare-feu à inspecter le trafic chiffré permet aux données sensibles de quitter le réseau sans être détectées. De plus, les outils traditionnels sont mal armés pour sécuriser les voies modernes de fuite de données, telles que le partage de fichiers au sein des applications SaaS.

Comment une architecture Zero Trust transforme la sécurité

L’architecture Zero Trust est fondamentalement différente des architectures traditionnelles. Au lieu de sécuriser les réseaux, elle sécurise directement l’accès aux ressources informatiques. Au lieu de régir l’accès en fonction de l’identité (qui peut être usurpée), elle régit l’accès en fonction du contexte et du risque. Un cloud spécialement conçu fournit l’architecture en tant que service et à la périphérie, agissant comme un standard intelligent qui permet des connexions sécurisées et individuelles entre les utilisateurs, les appareils, les workloads, les sites distants et les applications, indépendamment de l’emplacement. En d’autres termes, le Zero Trust dissocie la sécurité et la connectivité du réseau. Avec le Zero Trust, les entreprises peuvent utiliser Internet comme réseau d’entreprise.

Les principes du Zero Trust

1. Vérifier l’identité : chaque demande d’accès commence par l’authentification de l’identité de l’utilisateur ou de l’entité qui tente d’accéder.
2. Déterminer la destination : la plateforme Zero Trust identifie la destination demandée et en vérifie la légitimité et la sécurité.
3. Évaluer les risques : l’IA/AA évalue le contexte de la tentative d’accès afin d’en appréhender le risque, en tenant compte du comportement de l’utilisateur, de la posture de l’appareil, de l’emplacement et de nombreuses autres variables.
4. Appliquer la politique : la politique est appliquée en temps réel session par session, en accordant, en refusant ou en fournissant un niveau d’accès intermédiaire en fonction du risque afin de garantir un accès sur la base du moindre privilège.

Les quatre points forts du Zero Trust

1. Minimise la surface d’attaque : en dissimulant les applications derrière un cloud Zero Trust, le Zero Trust élimine le besoin d’adresses IP publiques et empêche les connexions entrantes. Les applications sont invisibles sur Internet, ce qui réduit la surface d’attaque.
2. Neutralise les compromissions : le Zero Trust exploite un cloud de sécurité hautes performances pour appliquer un proxy et inspecter l’ensemble du trafic, y compris le trafic chiffré, à grande échelle. Les politiques en temps réel bloquent les menaces avant qu’elles atteignent les utilisateurs ou les applications.
3. Empêche les déplacements latéraux : le Zero Trust connecte les utilisateurs directement aux applications, et non au réseau. Cette segmentation granulaire garantit que les hackers ne peuvent pas se déplacer latéralement entre les ressources, ce qui permet de contenir les violations.
4. Bloque la perte de données : l’architecture Zero Trust sécurise les informations sensibles sur tous les canaux potentiels de fuite de données, qu’elles soient en mouvement vers le Web (même via un trafic chiffré), au repos dans le cloud ou en cours d’utilisation sur les terminaux.

Le Zero Trust en action : sécuriser la connectivité any-to-any

L’un des atouts déterminants du Zero Trust est sa capacité à sécuriser connectivité any-to-any Cela signifie qu’il peut protéger toutes les entités qui doivent accéder à vos ressources informatiques, y compris :

• Les effectifs : les utilisateurs peuvent accéder en toute sécurité au Web, aux applications SaaS et privées sans avoir besoin d’un accès au réseau
• Les clouds : le Zero Trust sécurise les communications des workloads dans les environnements de cloud publics, privés et hybrides, et protège les données au repos dans vos clouds et applications SaaS
• Les dispositifs IoT/OT : le Zero Trust garantit une connectivité sécurisée pour les systèmes IoT et OT (technologie opérationnelle, protégeant ainsi ces actifs critiques contre les cyberattaques
• Les partenaires B2B : les tiers, tels que les partenaires de distribution, bénéficient d’un accès sécurisé direct à des applications spécifiques, sans avoir besoin de VPN ni d’accès au niveau du réseau

Facteurs à prendre en compte lors de l’évaluation des plateformes Zero Trust

Adopter une plateforme Zero Trust est une décision cruciale pour les entreprises qui veulent moderniser leur infrastructure de sécurité. Compte tenu des nombreuses options disponibles sur le marché, il est essentiel d’évaluer les solutions potentielles en fonction d’un ensemble de critères clés afin de vous assurer que la plateforme répond aux besoins spécifiques de votre entreprise. Vous trouverez ci-dessous quelques considérations fondamentales qui guideront votre démarche d’évaluation :

Couverture complète de toutes les entités

Une véritable plateforme Zero Trust doit sécuriser l’accès de toutes les entités critiques d’une entreprise, y compris les collaborateurs, les applications et les clouds, les systèmes IoT/OT et les partenaires. Assurer une protection unifiée sur l’ensemble de ces vecteurs est essentiel pour maintenir une sécurité cohérente et robuste, sans laisser de failles que les hackers pourraient exploiter.

Stabilité financière du fournisseur

La santé financière et la longévité du fournisseur de plateforme ne peuvent être négligées. Une plateforme Zero Trust est souvent un service stratégique essentiel et les entreprises doivent s’assurer que le fournisseur qu’elles ont choisi dispose de la stabilité financière et des ressources nécessaires pour investir continuellement dans l’innovation tout en évitant toute interruption de sa prestation de services.

Expérience avérée auprès des clients

Une plateforme Zero Trust doit avoir fait ses preuves auprès d’un large éventail de secteurs et de clients. Recherchez des études de cas, des recommandations ou des témoignages qui démontrent l’efficacité de la plateforme à sécuriser des entreprises de taille, de complexité ou de secteur similaires aux vôtres. La validation par des déploiements concrets contribue à renforcer la confiance dans ses capacités.

Évolutivité et performance à l’échelle mondiale

Les entreprises opèrent désormais à l’échelle mondiale et ont besoin d’une plateforme Zero Trust capable d’évoluer de manière homogène tout en offrant des performances constantes. La plateforme doit disposer de l’infrastructure nécessaire pour prendre en charge les utilisateurs, les applications et les workloads dans plusieurs zones géographiques tout en offrant une faible latence, une haute disponibilité et une connectivité fiable.

La résilience pour faire face à l’imprévu

À une époque où les menaces évoluent constamment, la résilience n’est pas négociable. La plateforme doit pouvoir gérer les imprévus, qu’il s’agisse d’une augmentation de l’activité des utilisateurs, de nouveaux défis de cybersécurité ou de pannes techniques imprévues. Une solution Zero Trust résiliente garantit un service ininterrompu, même dans les conditions les plus défavorables.

Intégration de l’IA pour une meilleure sécurité et une plus grande efficacité

Enfin, lorsque les entreprises évaluent les plateformes Zero Trust, il est important de prendre en compte la manière dont l’intelligence artificielle (IA) est intégrée à la solution. Les plateformes Zero Trust modernes, comme Zscaler Zero Trust Exchange, utilisent l’IA et l’apprentissage automatique (AA) pour optimiser l’application des politiques, détecter les anomalies et rationaliser les processus de prise de décision. L’IA permet aux entreprises de répondre aux menaces avec rapidité et précision, créant les conditions nécessaires aux évolutions futures de la cybersécurité.

En évaluant les plateformes Zero Trust au regard de ces considérations, votre entreprise sera assurée de choisir une solution sécurisée, fiable et adaptable. À l’avenir, le rôle de l’IA dans l’amélioration du Zero Trust deviendra un moteur inestimable d’innovation et d’efficacité.

Le rôle de l’IA dans la stratégie Zero Trust

L’architecture Zero Trust est la base idéale pour la mise en œuvre d’une sécurité basée sur l’IA. En effet, l’énorme volume de données que traite une plateforme Zero Trust lorsqu’elle gère le trafic des clients est idéal pour entraîner les LLM. À son tour, l’IA améliore les capacités de Zero Trust en leur conférant une intelligence plus profonde, une plus grande efficacité et une meilleure capacité d’automatisation. Zscaler, par exemple, intègre L’IA/AA dans l’ensemble de sa plateforme Zero Trust Exchange afin d’améliorer d’innombrables capacités telles que :

• Détection et blocage des menaces : les modèles d’apprentissage automatique permettent d’identifier et d’atténuer en temps réel les menaces sophistiquées, telles que les attaques de type « zero day ».
• Automatisation de la segmentation : la segmentation des applications optimisée par l’IA garantit que les applications ne sont accessibles qu’aux utilisateurs autorisés, ce qui réduit la surface d’attaque interne et le risque d’erreur humaine associé à la segmentation manuelle.
• Découverte de données sensibles : la découverte automatique des données par l’IA recherche et classe automatiquement les informations sensibles sur tous les canaux de fuite de données possibles.
• Amélioration de la productivité des utilisateurs : l’analyse des causes profondes optimisée par l’IA identifie automatiquement les problèmes sous-jacents à l’origine des problèmes d’expérience utilisateur, améliorant ainsi la productivité des effectifs et du service d’assistance informatique.

Au-delà de la sécurité : les avantages commerciaux du Zero Trust

En plus de réduire le risque cybernétique, le Zero Trust offre plusieurs avantages opérationnels et financiers :

• Réduction de la complexité : en remplaçant les pare-feu, les VPN et diverses solutions ponctuelles par une plateforme unifiée et moderne, les entreprises peuvent simplifier leurs environnements informatiques.
• Économies de coûts : éliminer les outils traditionnels tout en simplifiant la sécurité et la mise en réseau réduit les frais de gestion et le coût total de possession (TCO).
• Amélioration de l’expérience utilisateur : la connectivité directe à l’application élimine la latence associée au backhauling du trafic, garantissant un accès rapide et fluide pour les utilisateurs et améliorant la productivité.
• Agilité de l’entreprise : la flexibilité de l’architecture Zero Trust permet aux entreprises de sécuriser les applications cloud et le travail hybride, afin de s’adapter rapidement et en toute sécurité à l’évolution des besoins commerciaux.

Conclusion 

Le rythme effréné de la transformation numérique exige une architecture de sécurité capable de suivre. Les approches traditionnelles basées sur le périmètre, avec leurs faiblesses inhérentes, ne suffisent plus. L’architecture Zero Trust, axée sur une connectivité sécurisée any-to-any et des politiques dynamiques basées sur le contexte, offre une solution moderne aux défis actuels de la cybersécurité.

En intégrant l’IA au Zero Trust, les entreprises peuvent encore améliorer leur posture de sécurité, rationaliser leurs opérations et améliorer l’expérience utilisateur. Avec Zscaler Zero Trust Exchange, les entreprises peuvent adopter sereinement la transformation numérique tout en protégeant leurs utilisateurs, leurs données et leurs applications, ainsi que tout le reste de leur écosystème informatique.

Pour les entreprises prêtes à passer à l’étape suivante, la voie vers le Zero Trust commence par une parfaite compréhension de ses principes, de ses atouts et des stratégies de déploiement. Sécurisez votre avenir dès aujourd’hui avec Zscaler.

Commencer votre parcours Zero Trust – En savoir plus