Erreur n°1 : penser que le Zero Trust peut être installé
Un cadre de sécurité Zero Trust n’est pas un produit qui peut faire l’objet d’une licence ou être installé. Il s’agit d’une stratégie qui définit une approche holistique de la cybersécurité qui déplace l’accent traditionnel sur la sécurité des réseaux de la protection d’un périmètre vers la protection des actifs et des utilisateurs.
« La confiance zéro est le terme désignant un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les actifs et les ressources », selon la publication spéciale 800-207 du National Institute of Standards and Technology. « Une architecture Zero Trust utilise les principes Zero Trust pour planifier l’infrastructure et les flux de travail industriels et d’entreprise. »
Le NIST ajoute que la confiance zéro a été rendue nécessaire par un certain nombre de tendances de ces dernières années, notamment l’augmentation du nombre de travailleurs à distance et des politiques BYOD, ainsi que la croissance des actifs basés sur le cloud situés en dehors du périmètre des organisations. Le SP 800-207 note que « le niveau de confiance zéro se concentre sur la protection des ressources (actifs, services, flux de travail, comptes réseau, etc.), et non sur les segments du réseau, car l’emplacement du réseau n’est plus considéré comme l’élément principal de la posture de sécurité de la ressource. .»
La Cybersecurity and Infrastructure Security Agency définit cinq piliers d’un modèle de confiance zéro : l’identité, les appareils, les réseaux, les applications et charges de travail, ainsi que les données. La gouvernance des identités et des données constitue de loin la pierre angulaire du modèle ; toute initiative de confiance zéro doit donner la priorité aux contrôles d’identité et d’accès aux données, explique Candillo.
Dans un environnement de confiance zéro, cette vérification s’effectue en permanence, garantissant que même lorsque des acteurs malveillants accèdent d’une manière ou d’une autre à un réseau, ils ne peuvent pas y rester longtemps.
Erreur n°2 : ignorer la qualité de l’expérience utilisateur
La mise en œuvre d’un cadre de confiance zéro nécessite généralement de modifier la philosophie d’une organisation en matière de cybersécurité, explique Candillo. Souvent, les organisations se lancent dans une démarche de confiance zéro en pensant qu’elles peuvent continuer à utiliser « leurs anciennes équipes et styles de gestion cloisonnés, isolant les équipes de sécurité, les équipes réseau, les équipes d’applications et les administrateurs système », dit-il. « Une transformation zéro confiance réussie nécessite également une transformation culturelle. »
Au-delà de garantir que les équipes essentielles travaillent ensemble pour mettre en œuvre l’approche, une attention particulière doit être accordée aux utilisateurs, en particulier aux cliniciens, et à leurs expériences d’engagement ou de travail pour l’organisation. La formation des utilisateurs et les opportunités de les intégrer à la solution contribuent à créer « une culture dans laquelle la sécurisation des actifs de l’organisation et des données des patients est une priorité absolue et prise très au sérieux par tout le monde », déclare Candillo.
