Cybersécurité : l'approche Zero Trust redéfinit la manière de sécuriser la connectivité du cloud

L'essor du cloud et des nouvelles formes de travail impose une révision des approches de cybersécurité traditionnelles... et le Zero Trust tire son épingle du jeu.

Les évolutions technologiques et les nouveaux modes de travail ont profondément modifié la manière dont les entreprises abordent la question informatique. Si pendant des années, les solutions logicielles on-premice et les datacenters internes étaient la règle, le recours au cloud n’a cessé de croître comme le démontrent les résultats financiers des acteurs du secteur.

Le fait est que l’informatique moderne est devenue un réseau complexe d’appareils, d’applications et d’utilisateurs répartis sur différents sites, ce qui complexifie l’approche de la cybersécurité. En effet, une telle organisation fait qu’il est difficile de prévoir les moments et les lieux de connexions des différentes instances, et donc d’en sécuriser les accès. Les approches traditionnelles de la cybersécurité sont ainsi devenues obsolètes, bien qu’elles demeurent en dépit de risques toujours plus grands !

Il existe pourtant une approche de la cybersécurité dite « Zero Trust », qui permet de relever les défis posés par les structures actuelles. Et si le terme tend à se démocratiser, son adoption est loin d’être systématique : en France, 57% des entreprises commencent tout juste à s’y intéresser, ce que les équipes informatiques expliquent par une incompréhension de leurs dirigeants quant à la philosophie de cette approche.

Des infrastructures IT dépassées par la menace

La pandémie a mis en évidence l’inadéquation des architectures réseau traditionnelles avec les nouveaux modes de travail. La dépendance à l’égard des concentrateurs VPN a souligné les vulnérabilités des systèmes centralisés, devenus des cibles de choix pour les attaques DDoS. Même au-delà des attaques, ces dispositifs ont souvent montré leurs limites. La distance physique entre les utilisateurs et les applications, l’acheminement du trafic à travers des datacenters d’entreprise surchargés et les performances imprévisibles des FAI ont régulièrement posé des problèmes aux administrateurs réseau et compromis l’expérience des utilisateurs. Malgré ces obstacles, le rôle d’Internet en tant que colonne vertébrale des entreprises ne fait qu’augmenter, notamment grâce au développement des SD-WAN, et considérablement accéléré par le travail hybride, l’informatique cloud et l’intelligence artificielle.

En parallèle, la menace devient de plus en plus hostile avec des groupes de cybercriminels très organisés, des menaces internes et même des adversaires soutenus par des États. Les risques accrus de mouvements latéraux au sein des réseaux et le danger des ransomwares nécessitent un cadre solide pour la surveillance et le contrôle des flux de données qui dépasse le périmètre traditionnel du réseau. Par exemple, minimiser le risque que des utilisateurs distants accèdent à des plateformes SaaS à partir d’appareils non gérés via des réseaux domestiques nécessite une approche très nuancée de la sécurité des données et du contrôle d’accès.

Zero Trust : Une nouvelle philosophie pour la cyberprotection

C’est là qu’intervient l’approche Zero Trust, un modèle de sécurité qui part du principe qu’aucune entité à l’intérieur ou à l’extérieur du réseau n’est intrinsèquement digne de confiance. Contrairement aux approches traditionnelles basées sur l’authentification unique, l’approche Zero Trust instaure une vérification continue de toutes les demandes d’accès. Elle renforce ainsi la sécurité globale en réduisant la surface d’attaque et en limitant l’accès des utilisateurs en fonction du contexte. Et dans l’hypothèse où surviendrait une violation de sécurité, les politiques de segmentation du réseau préviennent les mouvements latéraux et limitent significativement les potentiels dommages.

La philosophie de cette approche repose sur des accès aux applications et aux données réduits au minimum requis. Il s’agit de fournir un cadre strict en définissant un contrôle granulaire sur les autorisations et en veillant à ce que toutes les demandes soient soigneusement authentifiées et légitimes. Une telle approche est aussi particulièrement utile pour la création de rapports dans les secteurs d’activité soumis au respect de règles rigoureuses en matière de protection des données.

SASE : L'architecture du cloud de connectivité

Secure Access Service Edge (SASE) est un moyen pratique de mettre en œuvre les principes de l’approche Zero Trust en les appliquant aux terminaux, aux réseaux et aux applications. Le SASE est une architecture cloud native qui combine des fonctions de sécurité telles que le DNS de protection, l’accès au réseau, la passerelle web sécurisée, le Cloud Access Security Broker (CASB), la Data Loss Prevention (DLP), et l’isolation du navigateur à distance. En plaçant ces services à proximité des utilisateurs finaux et en appliquant un modèle de sécurité distribué à la périphérie, SASE réduit la latence et améliore ainsi les performances et l’expérience utilisateur. Cette approche facilite la capacité des collaborateurs à travailler depuis n’importe quel endroit sur n’importe quel appareil et isole la sécurité du périmètre traditionnel du réseau afin que les organisations puissent adopter plus pleinement le cloud.

Ce changement de paradigme vers le Zero Trust et des architectures distribuées, reflète l’exode vers l’informatique dématérialisée, observée ces 15 dernières années. Comme ce fut le cas pour la migration progressive, parfois involontaire, vers les cloud de calcul et de stockage, les entreprises commencent aujourd’hui à bâtir des « clouds de connectivité ». Ces services, désormais fournis via Internet et à la périphérie, sont conçus pour unifier et simplifier la connectivité de l’entreprise. Alors que l’adoption de l’IA s’intensifie et que la demande de données pour l’entraînement et l’inférence des modèles augmente, l’importance d’une connectivité robuste, agile et sécurisée n’a jamais été aussi capitale. Dans ce contexte, les responsables informatique ne doivent pas seulement s’adapter mais anticiper l’avenir avec détermination. Le futur de l’entreprise sera défini par la distribution et le dynamisme entre les clouds, sous l’impulsion de tendances telles que l’IoT, les API et l’IA. Un cloud de connectivité va donc peu à peu s’imposer et les expressions « Zero Trust » et « SASE », dépasser leur statut de mots à la mode. Il s'agira bientôt de pratiques standard pour la connectivité, la sécurité et la conformité réglementaire.