Par où commencer ?

« L'entreprise qui débute par un audit va tout de suite percevoir un gain, cet audit lui servant aussi de preuve », indique Julien Cassignol, directeur avant-vente chez Wallix. (Crédiy Wallix)

« L'entreprise qui débute par un audit va tout de suite percevoir un gain, cet audit lui servant aussi de preuve », indique Julien Cassignol, directeur avant-vente chez Wallix. (Crédiy Wallix)

Selon une étude réalisée par Fortinet en début d'année 2022 (Global State of Zero Trust), 50 % des entreprises ont indiqué qu'elles n'étaient pas en mesure de mettre en oeuvre les principales fonctionnalités du concept Zero Trust pour plusieurs raisons. Déjà, les entreprises (pour 60 % d'entre elles) ont du mal à identifier les utilisateurs et les terminaux (postes de travail, smartphones, etc.) de manière continue, et 54 % avaient du mal à surveiller les utilisateurs après l'authentification. Plus généralement, les entreprises font également face à un manque de ressources qualifiées et une complexité de déploiements des solutions dédiées. Comme le mentionnent nos interlocuteurs, avant tout, il est primordial d'établir une stratégie avec une vision globale et un agenda pour le déploiement. Mais cela ne se décrète pas du jour au lendemain. « Dans les entreprises, il y a des contraintes quotidiennes (priorités, budgets, disponibilités des équipes, formations, ressources, etc.). Il faut se poser la question par où commencer ? », rappelle à juste titre Nicolas Arpagian, directeur de la stratégie cybersécurité chez Trend Micro, et d'ajouter : « Déjà par un travail d'évaluation pour lister l'état des besoins et le faire de manière progressive en fonction de la criticité des enjeux, puis de l'étendre. » Un avis que partage Julien Cassignol, directeur avant-vente chez Wallix : « L'entreprise qui commence par un audit va tout de suite percevoir un gain, cet audit lui servant aussi de preuve. »  

De l'état des lieux à une politique d'accès  

Un état des lieux permet aussi d'avoir une description des technologies utilisées dans les entreprises, c'est d'autant plus important que ces dernières sont parfois dissimulées par les métiers et parfois vulnérables de par leur obsolescence tout simplement. Ensuite, l'entreprise doit mettre en place une politique d'accès à distance (gestion des identités, des privilèges, etc.). « Je vais commencer par mettre un mot de passe comme point d'entrée au système, il faut aussi autoriser la personne à rentrer par des solutions d'authentification multifacteurs puis opérer de l'élévation de privilège pour que l'utilisateur en question puisse faire ce que je lui autorise dans un cadre précis. À chaque étape, nous apportons de la valeur », détaille Julien Cassignol.  

Ce schéma détaillé des éditeurs, les prestataires de services en cyber le partage aussi à l'instar de Cloud Temple. « La bonne façon de débuter est de s'interroger sur les actifs de l'entreprise qui ont de la valeur, et cela nécessite d'avoir une vue claire des éléments du SI. La modélisation du SI est importante pour identifier les utilisateurs, les équipements et inventorier les ressources. Ensuite, dans cette politique, il faut établir des règles, tel utilisateur a le droit d'accéder à des applications », indique Giuliano Ippoliti, directeur de la cybersécurité chez le MSSP et fournisseur de services Cloud Temple.  

Un processus en continu  

La mise en place du Zero Trust ne s'arrête jamais, c'est un processus en continu sur les équipements (nouvelles infrastructures), les individus (départs, arrivées, mouvements internes) et sur l'évaluation de la connaissance permettant de mieux identifier les menaces. Dans ces conditions, le choix des outils est essentiel. Pour cela, la pérennité de l'éditeur et/ou de l'infogéreur compte énormément.  De manière générale, de nombreuses entreprises ont déjà mis en place des pièces du puzzle Zero Trust et/ou ZTNA, qu'il s'agisse de la gestion des identités, du contrôle d'accès, de l'authentification à deux facteurs, de la segmentation du réseau ou de la gestion des politiques. Mais en réalité, peu d'entre elles ont une maîtrise totale de tous les aspects de Zero Trust (complète, intégrée, évolutive et axée sur des politiques de gouvernance).   

Le Zero Trust vu par Parsec (((Parsec.png)))

Développée par l'éditeur Scille, en collaboration avec la DGA (ministère des armées) et le Laboratoire bordelais de Recherche en Informatique (LaBRI), la solution de partage des données hautement sécurisée Parsec pousse à l'extrême le principe du Zero Trust. En effet, comme le mentionne Thierry Leblond, CEO de Parsec, le seul tiers de confiance est l'utilisateur final qui possède la clé. Parsec se démarque donc pas son approche open source cryptographique de distribution décentralisée de la confiance. Aujourd'hui, dans sa version de base, la solution Parsec est opérationnelle. À cela, l'éditeur opère aussi des développements spécifiques à la demande d'entreprises qui agissent dans les secteurs sensibles, des développements qui peuvent, par la suite, tomber dans cette version de base. Par exemple, l'éditeur devrait adosser la solution à un antivirus tiers basé sur le comportement ou ajouter un mécanisme de séquestre. En outre, l'éditeur va migrer pour la partie transfert de clé et chiffrement du langage Python vers Rust, moins gourmand en ressources. À noter enfin que Parsec a obtenu la certification CSPN délivrée par l'ANSSI. L'éditeur est aussi membre du pôle Systematic et de l'écosystème de l'association La Place Stratégique.    

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Le Zero Trust, un modèle à explorer

Le Zero Trust, un modèle à explorer

Zero Trust, ZTNA (Zero Trust Network Access) ou plus globalement SASE (Secure Access Service Edge), tous ces concepts ou modèles de cybersécurité inventés par les cabinets...

Publicité