5 mythes sur la confiance zéro démystifiés par John Kindervag et Michael Farnum

En 2010, John Kindervag a publié Fini les centres Chewy : présentation du modèle Zero Trust en matière de sécurité de l'information, un rapport détaillant le nouveau concept de Zero Trust qu'il avait créé.

Au cours des 15 années qui se sont écoulées depuis qu'il a introduit le concept, il a été largement adopté dans le secteur de la cybersécurité. Mais sa définition a également été mal comprise au fil du temps. Plusieurs mythes du Zero Trust sont apparus et induisent en erreur les organisations dans leurs efforts en faveur de la cyberrésilience.

Kindervag, aujourd'hui évangéliste en chef d'Illumio, est prête à remettre les pendules à l'heure. C'est pourquoi il a rejoint Michael Farnum, CISO consultant chez Trace3, pour discuter des mythes Zero Trust les plus courants qu'ils rencontrent dans le secteur et des vérités qui les sous-tendent.

Regardez leur discussion complète sur demande, et poursuivez votre lecture pour découvrir la vérité de la part du créateur de Zero Trust et de l'un des principaux experts en sécurité.

La définition du Zero Trust selon John Kindervag

Le titre unique du rapport de Kindervag, Plus de centres à mâcher, provient d'un vieux dicton en matière de sécurité de l'information : « Nous voulons que notre réseau ressemble à un M&M, avec un extérieur dur et croustillant et un centre moelleux. » La devise est basée sur le modèle traditionnel de confiance en matière de cybersécurité. Il part du principe que les attaquants ne peuvent pas franchir « l'extérieur » du périmètre sécurisé du réseau.

Mais comme l'explique Kindervag, « dans le nouveau paysage de menaces actuel, il ne s'agit plus d'un moyen efficace de renforcer la sécurité. Une fois qu'un attaquant passe le shell, il a accès à toutes les ressources de notre réseau. »

Le modèle Zero Trust est la réponse de Kindervag à cet ancien modèle de sécurité.

« Zero Trust est une stratégie. Ce n'est pas un produit. On ne peut pas l'acheter », a-t-il dit.

Zero Trust est conçu pour faire deux choses, selon Kindervag :

• Stoppez les violations de données (Kindervag définit les violations de données comme des incidents au cours desquels des données sensibles ou réglementées ont été exfiltrées d'un réseau ou d'un système entre les mains d'un acteur malveillant)

• Empêchez les cyberattaques de réussir

Zero Trust fournit une feuille de route pour réaliser ces deux objectifs à un niveau stratégique. Il permet de vous orienter vers les bonnes tactiques et technologies.

« La cybersécurité est un voyage, pas une destination. Je pense qu'il en va de même pour Zero Trust », a-t-il noté.

Les 5 étapes de Kindervag vers Zero Trust

1. Définissez votre surface de protection : Vous ne pouvez pas contrôler la surface d'attaque car elle évolue constamment, mais vous pouvez réduire la surface de protection de votre organisation en de petites parties faciles à identifier. La surface de protection comprend généralement un élément de données, un service ou un actif unique.

2. Cartographier les communications et les flux de trafic : Vous ne pouvez pas protéger le système sans comprendre comment il fonctionne. La visibilité de vos environnements permet de savoir où les contrôles sont nécessaires.

3. Créez l'environnement Zero Trust : Une fois que vous aurez obtenu une visibilité complète sur le réseau, vous pourrez commencer à mettre en œuvre des contrôles adaptés à chaque surface de protection.

4. Créez des politiques de sécurité Zero Trust : Élaborez des politiques qui fournissent une règle granulaire permettant au trafic d'accéder à la ressource dans la surface protégée.

5. Surveiller et entretenir le réseau : Réinjectez la télémétrie dans le réseau, en créant une boucle de rétroaction qui améliore continuellement la sécurité et crée un système résilient et antifragile.

Mythe Zero Trust #1 : Il existe des normes définies en matière de cybersécurité et de Zero Trust

« Il n'existe aucune norme de cybersécurité dans le monde », a déclaré Kindervag. Malgré leurs rapports publiés sur Zero Trust, des organisations comme le NIST et la CISA ne fixent pas de normes en matière de cybersécurité, mais uniquement des directives.

« Si tu lis Le modèle de maturité Zero Trust de la CISA (ZTMM), ils disent que c'est une façon de procéder. Ils ne sont pas du tout prescriptifs, et moi non plus », a-t-il expliqué.

Cela signifie également qu'il n'existe pas de norme pour Zero Trust. Chaque organisation est unique et doit adopter une approche unique pour créer Zero Trust. Les conseils de sécurité peuvent être très utiles, mais ce n'est pas nécessairement la meilleure façon de procéder.

Mythe Zero Trust #2 : Vous pouvez obtenir Zero Trust en suivant une liste de contrôle

À vrai dire, le parcours Zero Trust de chaque organisation sera différent. Cela dépend de votre taille, de votre croissance, de votre budget et de vos ressources.

« Il s'agit de déterminer le point du modèle de maturité sur lequel vous souhaitez vous concentrer et ce que vous devez faire pour y parvenir », explique Kindervag.

Kindervag recommande de commencer par la surface de protection de votre organisation. Les équipes doivent se demander ce que nous devons protéger. Cette approche est différente d'une approche qui commence par la surface d'attaque, qui peut déclencher un cycle interminable et infructueux de réaction aux menaces au lieu de se préparer de manière proactive à protéger les actifs les plus importants.

Farnum a reconnu que Trace3 rencontre souvent des entreprises qui ont commencé leur parcours Zero Trust en se concentrant sur la surface d'attaque, mais qu'elles ont rencontré des pièges. Trace3 encourage plutôt ses clients à suivre les cinq étapes vers Zero Trust de Kindervag en fonction de leur surface de protection.

Mythe Zero Trust #3 : Zero Trust, c'est simplement la sécurité de l'identité

Kindervag a mis en garde contre le fait de devenir « trop littéral » avec Zero Trust. Pour de nombreux responsables de la sécurité, cela peut sembler suivre le modèle de maturité de manière trop stricte.

« Les gens ont l'impression de devoir d'abord définir leur identité, car c'est le premier pilier de Zero Trust », explique Kindervag. Il encourage plutôt les organisations à examiner leur surface de protection unique et à se concentrer sur le pilier Zero Trust qui garantit en premier lieu leurs ressources les plus importantes.

« Il faut le regarder horizontalement, pas seulement verticalement », explique Kindervag.

Mythe Zero Trust #4 : L'achat d'une plateforme Zero Trust signifie que vous bénéficiez d'une sécurité Zero Trust

Si vous avez travaillé dans le secteur de la cybersécurité ces dernières années, vous avez entendu le terme défense en profondeur. Mais pour de nombreuses organisations, ce concept s'est transformé en « dépenses approfondies », selon Kindervag.

Pourquoi les entreprises sont-elles toujours confrontées à de graves cyberincidents alors que nous dépensons plus que jamais en solutions de sécurité ?

« Si la sécurité consiste à acheter suffisamment de biens ou à dépenser suffisamment d'argent, alors nous y sommes parvenus », a déclaré Kindervag.

Farnum a déclaré qu'il voyait de nombreuses entreprises dépenser de l'argent pour des plateformes de sécurité sans d'abord comprendre ce qu'elles doivent protéger. Ils encouragent les clients à changer leur façon de penser à Zero Trust avant de faire d'autres achats. Ils doivent à nouveau avoir de la visibilité sur leur réseau et savoir ce qu'il est le plus important de sécuriser.

Kindervag a approuvé cette approche. « Nous voulons simplement qu'il fonctionne automatiquement d'une manière magique et féerique. Mais cela ne fonctionne pas comme ça. Vous commencez toujours par la surface de protection. »

Mythe Zero Trust #5 : « Zero Trust » n'est qu'un nouvel emballage pour un ancien concept de sécurité

Certains acteurs du secteur de la cybersécurité ont mis en doute la validité de Zero Trust. Ils l'ont condamné comme un jargon marketing qui n'est qu'un nouvel emballage d'une vieille idée.

Mais pour Kindervag, cela montre simplement qu'ils comprennent mal le concept. « Qu'est-ce que Zero Trust avant Zero Trust ? Il n'y avait pas de Zero Trust. C'était le problème », a-t-il dit.

Dans le 20^th siècle, l'accent a été mis sur la sécurité basée sur le périmètre. Les réseaux ont été conçus de l'extérieur vers l'intérieur : l'extérieur n'était pas fiable et l'intérieur était fiable. Cela a créé des réseaux plats complètement ouverts à l'intérieur. Les attaquants peuvent non seulement pénétrer dans le réseau, mais ils peuvent y rester pendant des jours, des semaines, des mois, voire des années.

« Vous devez redéfinir votre état d'esprit », a convenu Farnum. « Toutes les interfaces ne doivent pas être fiables. Ce n'est pas parce que votre réseau est opérationnel qu'il est sécurisé. »

Illumio et Trace3 s'associent pour vous aider à créer Zero Trust

Trace3 est une société de conseil technologique de premier plan qui aide ses clients à créer, innover et gérer l'ensemble de leur sphère informatique, y compris la cybersécurité. Ils ont établi un partenariat avec Illumio pour aider les clients à créer une sécurité Zero Trust grâce à Zero Trust Segmentation.

Ensemble, ils proposent une approche globale de la création et de la mise en œuvre d'une architecture Zero Trust. En combinant l'expertise stratégique de Trace3 avec la technologie de segmentation avancée d'Illumio, vous pouvez trouver une approche personnalisée de Zero Trust qui répond aux besoins de sécurité de votre organisation.

Regardez Kindervag's and Farnum's conversation complète à la demande. Contactez-nous dès aujourd'hui pour découvrir comment Illumio + Trace3 peut aider votre organisation à développer Zero Trust.