À Chaud :

Betoobe-Connexing réalise une croissance de 388 % et un CA de 20,5 millions

Betoobe-Connexing, un acteur européen au service de l’Expérience Utilisateur Connecté...

delaware reconnu pour ses initiatives RSE et sa fidélisation des talents

delaware est une nouvelle fois mis à l’honneur pour...
Expertise professionnelleDéploiement Zero Trust : étapes, conseils et bonnes pratiques

Déploiement Zero Trust : étapes, conseils et bonnes pratiques

Par Simon Bonin – Expert Sécurité chez IMS Networks

La mise en place d’un projet ZTNA (ou Zero Trust Network Access) requiert certains prérequis, inhérents à la fois au niveau de maturité de l’organisation ainsi qu’au degré de sensibilité des données confidentielles et personnelles qu’elle stocke. Voici les 6 grandes étapes de la méthodologie de déploiement d’un projet Zero Trust.

Cartographie des ressources et flux de données critiques (canaux de diffusion)

La cartographie des ressources et des flux de données critiques d’un SI est une étape essentielle dans la gestion de la sécurité de l’information, permettant de mieux comprendre et de mieux protéger les éléments essentiels de son infrastructure informatique. Durant cette étape, il conviendra d’identifier les utilisateurs, leurs postes de travail et les appareils utilisés afin de déterminer leurs droits et les vérifications d’identité, qui seront différents d’un groupe d’individus à un autre (accès restrictifs et personnalisés aux données).

Design de l’architecture

Cette étape va permettre de comprendre comment segmenter le réseau et mettre en place les nouvelles briques technologiques. Il s’agit de définir la matrice de toutes ses ressources, le niveau de sécurité exigé, la vérification de la conformité des postes… C’est lors de cette deuxième étape que l’on pourra décider, dans le cas d’une organisation peu mature, de commencer par sécuriser les segments réseau moins critiques, ou plus sensibilisés (SI, informatique, etc.) et de mettre en place son Zero Trust bloc par bloc. Pour les entreprises dites matures, on choisira ici de lancer la mise en place du Zero Trust tout d’un bloc.

Contrôle d’accès

Avec le VPN, l’accès aux données du réseau pouvait se résumer à « tout ou rien » : soit on est connecté au réseau interne et on a accès à toutes les données, soit aucun accès. Avec le Zero Trust, l’utilisateur accède exactement aux données dont il a besoin. Cette troisième étape de contrôle d’accès va permettre de déterminer les personnes avec leurs droits d’accès aux données, tout en vérifiant la conformité des postes de travail. Pour vérifier cette conformité, on utilise l’IoC, indicateur de compromission pour contrôler si le poste est à risque ou non et, si besoin, donner des accès plus ou moins restrictifs. L’objectif étant d’effectuer un contrôle d’accès sécurisé sans pour autant perturber le quotidien des utilisateurs. Selon son niveau de maturité, il pourrait être nécessaire d’opter pour la mise en place d’une gestion des accès privilégiés (PAM) en complément.

Monitoring et gestion des incidents

Cette étape de surveillance permet d’identifier des tentatives d’accès non autorisées. Il s’agit d’analyser si ces tentatives d’accès sont normales et dues à un oubli dans la cartographie (dans ce cas, il faudra revoir l’étape 2), ou s’il s’agit d’une tentative d’intrusion malveillante. Le Cyber-SOC peut alors s’avérer une solution efficace pour analyser et investiguer tous ces incidents potentiels et préconiser des réponses à incident efficaces.

Formation et passation de connaissance à l’équipe

Une fois le Zero Trust mis en place, le prestataire ayant accompagné ce déploiement veillera à former les équipes IT du client aux principes de ZTNA : nouveaux contrôles d’accès aux ressources, bonnes pratiques, outils à mettre à disposition pour surveiller et configurer les accès aux comptes utilisateurs, etc. En fonction des équipes, une formation aux risques cyber actuels peut être nécessaire : l’évolution permanente des techniques employées par le cyberattaquant est un enjeu essentiel à porter à la connaissance des équipes SI.

Dans un deuxième temps, on présentera en détail ce qui a été mis en place en fournissant un document complet récapitulatif. Ensuite, on cherchera à recueillir les retours des équipes et des utilisateurs. Enfin, il faudra également mettre en place un accompagnement en interne de l’ensemble des utilisateurs :

Évaluation continue – audit de sécurité

La roue de Deming ou PDCA est une méthode d’amélioration continue en 4 phases à enchaîner de manière itérative pour améliorer un fonctionnement : Prévoir (Plan), Faire (Do), Vérifier (Check), Réagir (Act). Au bout de quelques années, on peut en effet trouver des « trous dans la raquette » : des accès sont restés ouverts, les bonnes pratiques n’ont pas été respectées, etc. On peut les identifier avec des tests d’intrusion et un audit de sécurité. S’agit-il d’un défaut dans le design de l’architecture ? D’erreurs de configuration ? De vulnérabilités portant sur des briques techno utilisées ? S’ensuit ensuite une phase de corrections pour un Zero Trust conforme aux attentes.

La nécessité d’avoir un pilote dédié au déploiement du Zero Trust

L’un des facteurs clés de succès réside ici : une personne ou une équipe doit être dédiée à ce projet avec un niveau d’expertise suffisant, qu’il soit en interne ou en externe. En effet, la partie expertise en Zero Trust est cruciale, au moins pour le déploiement. Utiliser une expertise externe peut alors permettre d’avoir une personne expérimentée en Zero Trust, ayant été confrontée à divers cas d’usages chez d’autres clients et une vision complète du sujet : déploiement efficace et bonnes pratiques, ressource dédiée uniquement sur ce sujet et expertise forte.

Le tiers de confiance que représente un prestataire pour la mise en œuvre d’un Zero Trust reste néanmoins recommandé : pour toute question ou difficulté rencontrée, il sera le seul point de contact, et la communication interéquipe en sera simplifiée. Qu’il s’agisse d’un service managé et d’une exploitation en continu, la passation de connaissance en interne s’avérera toujours un plus.

à lire aussi

Wraptor aide Normandie Santé à devenir opérateur de messagerie sécurisée MSSanté

Wraptor voit une nouvelle fois son expertise saluée en...

Postes ouverts chez Provence.ai : développez des solutions IA innovantes

Provence.ai, la startup qui révolutionne le traitement de documents...

Croissance durable : MYPE investit dans l’innovation pour 2025

MYPE annonce un chiffre d’affaires de 805 000 euros en croissance...

Implémenter Copilot en toute sécurité : audits, DLP et bonnes pratiques

Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme...

Dans la même catégorie

Implémenter Copilot en toute sécurité : audits, DLP et bonnes pratiques

Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme...

Comment l’IA transforme les processus de gestion et d’engagement client

Par Bertrand Pourcelot, DG Enreach for Service Providers L’IA s’invite...

Architecture DECT : Garantir une couverture et une qualité d’écoute optimales

S’appuyer sur des infrastructures télécoms performantes se positionne comme...

Les enjeux de la cybersécurité dans le secteur médical selon l’ANSSI

Par Geoffroy de Lavenne, Directeur Général d’ITS Integra L’ANSSI vient...

Ça pourrait vous interresser

Prévenir les risques informatiques grâce à l’audit de maturité cyber

Sécuriser son organisation est un sujet qui devrait aujourd’hui être une évidence pour l’ensemble des entreprises et structures publiques. En effet, de plus en...

Quelle place pour l’Intelligence artificielle dans la Supply Chain ?

Gérer toujours plus efficacement ses opérations et accroitre son agilité sont des données stratégiques pour les professionnels de la Supply Chain. Ces derniers se...

Automatisation des charges de travail : un pilier pour une stratégie RSE efficace

La mise en œuvre et l’exploitation de projets IT doivent aujourd’hui s’inscrire dans une tendance durable. Dans ce contexte, le workload automation (automatisation des...