Zero Trust Security, « Assume Breach » Mindset et projet de loi britannique sur la réforme des données

Alors que 90 % des organisations prévoient de prioriser une stratégie de sécurité Zero Trust en 2022, rares sont ceux qui pensent qu'ils seront victimes d'une violation. Mais la combinaison de cyberattaques omniprésentes et de réseaux sans périmètre de plus en plus dispersés signifie qu'il est presque garanti que les organisations seront attaquées et piratées.

Cet écart entre l'adoption de Zero Trust et l'engagement à L'état d'esprit « assumer une violation » de Zero Trust fragilise de nombreuses organisations, ce qui a fait l'objet de l'actualité de ce mois-ci en matière de cybersécurité.

La mentalité de « présumer une violation » prépare à d'inévitables cyberattaques

Ce n'est qu'une question de temps avant qu'une organisation ne soit victime d'une cyberattaque. Les violations sont inévitables — et elles peuvent avoir des conséquences financières dévastatrices pour les organisations qui n'ont pas mis en place de plan d'atténuation. Andrew Rubin, PDG et cofondateur d'Illumio, a abordé ce nouveau paradigme de sécurité dans un article du Financial Times publié ce mois-ci, Cyberattaquants : si vous ne pouvez pas les arrêter, perturbez-les.

Rubin explique dans cet article comment la nature hybride et dispersée des réseaux actuels rend les entreprises de plus en plus vulnérables aux violations. Des cyberattaques sophistiquées telles que SolarWinds hack montre que les organisations doivent se concentrer sur l'atténuation des cyberrisques plutôt que d'essayer de contrecarrer toutes les intrusions possibles sur le réseau.

« Les problème de ransomware est devenu si omniprésent », a déclaré Rubin. « Cela prouve à tout le monde que vous allez être touché presque quoi qu'il arrive, ce qui n'est pas un échec de votre cyberstratégie, cela signifie simplement que vous devez faire évoluer votre cyberstratégie pour détecter et arrêter la propagation. »

Outre les niveaux de détection et de visibilité, l'article souligne que l'un des meilleurs moyens d'arrêter la propagation d'une attaque est d'utiliser la segmentation Zero Trust. Il divise un réseau en parties plus petites, de sorte que lorsque des attaquants s'infiltrent dans un réseau, les équipes de sécurité peuvent rapidement mettre l'attaque en quarantaine.

D'un point de vue financier, l'article avertissait que les organisations devaient se préparer à des violations potentiellement dévastatrices dans le cadre de leur processus de gestion des risques d'entreprise. L'adoption de nouvelles défenses de sécurité peut contribuer à ralentir et à isoler les attaquants lorsqu'il est impossible de les arrêter complètement.

Zero Trust est la norme de cybersécurité

L'article de VentureBeat, Tout ce que vous devez savoir sur l'architecture Zero-Trust, a souligné la valeur de Architecture Zero Trust pour vous aider à vous protéger contre les cyberattaques de plus en plus nombreuses d'aujourd'hui.

L'article explique l'évolution de la cybersécurité au cours des dernières années. Alors que de plus en plus d'employés travaillent à distance et que de plus en plus d'organisations migrent vers le cloud, les réseaux sont de plus en plus dépourvus de périmètres. Selon VentureBeat, cela signifie que outils de sécurité traditionnels à elles seules, les organisations ne peuvent pas préparer les entreprises à gérer les cyberattaques inévitables d'aujourd'hui

Et si VentureBeat désigne Zero Trust comme l'un des meilleurs moyens de répondre au besoin de nouvelles solutions aux nouvelles attaques, elle reconnaît également que c'est devenu un mot un peu à la mode avec une définition ambiguë. L'article indique que Zero Trust n'est pas un produit ou un argument publicitaire, mais plutôt une philosophie conçue pour gérer les problèmes de sécurité modernes.

Un framework Zero Trust suppose que tous les environnements informatiques présentent des vulnérabilités que les cyberattaquants finiront par découvrir. Pour y remédier, l'article explique comment la philosophie Zero Trust vise à améliorer la visibilité dans tous les environnements et à segmenter le réseau afin de stopper la propagation des cyberattaquants qui peuvent abuser de la confiance automatique pour accéder à des informations critiques pour l'entreprise.

Les réseaux de nombreuses organisations devenant de plus en plus complexes de jour en jour, segmenter le réseau peut sembler intimidant. Cependant, VentureBeat nomme Illumio comme solution qui peut aider à automatiser la mise en œuvre de la segmentation Zero Trust. Cela implique de créer des politiques de sécurité à la fois efficaces et pragmatiques. Une architecture Zero Trust peut être facilement mise en œuvre pour protéger les organisations contre les cyberattaques.

Près de la moitié des responsables de la sécurité pensent qu'ils ne seront pas violés

Bien que 90 % des responsables de la sécurité accordent la priorité aux stratégies Zero Trust cette année, 47 % déclarent ne pas penser qu'elles seront violées. Pour mieux comprendre ces tendances à partir des critères ESG Rapport d'impact Zero Trust, Canal Buzz s'est entretenu avec PJ Kirner, directeur technique et cofondateur d'Illumio. Les statistiques contredisent principes fondamentaux de Zero Trust: partez toujours du principe que les violations sont inévitables et que les attaquants ont peut-être déjà accès au réseau.

« Nous avons lancé Illumio en gardant ces principes à l'esprit il y a 10 ans et nous pensons parfois que les gens les comprennent parfaitement, mais ce point de données de 47 % suggère que ce n'est pas le cas », explique Kirner.

Kirner a noté que, dans certains cas, il pense que ce chiffre est simplement dû au fait que les dirigeants pensent ne pas disposer du type de données suffisamment précieux pour être volées.

« Ils se concentrent vraiment sur la protection de leurs joyaux de la couronne», a-t-il déclaré. « Cependant, Zero Trust impose aux clients de toujours partir du principe qu'une violation a eu lieu et que des attaquants s'y trouvent. Ce groupe croit en Zero Trust, mais je ne pense pas qu'il accepte encore l'idée de « supposer la violation ». »

Pourtant, le rapport d'ESG a révélé que 76 % des organisations interrogées ont été attaquées par un rançongiciel, et 66 % en ont subi au moins un attaque de la chaîne d'approvisionnement logicielle. Les cyberattaques se produisent à une fréquence beaucoup plus élevée que jamais, et Kirner a expliqué que les organisations devaient mettre en place un plan de sécurité.

La bonne nouvelle ? Le rapport indiquait également que Segmentation Zero Trust a développé un impact commercial quantifiable, 81 % des responsables de la sécurité estimant que la segmentation Zero Trust devrait faire partie de leur stratégie Zero Trust fondamentale.

L'enquête d'ESG a révélé que la segmentation Zero Trust permet aux entreprises d'économiser en moyenne 20,1 millions de dollars sur les applications en centre-ville, d'éviter cinq cybercatastrophes par an et d'accélérer 14 autres projets de transformation numérique et cloud au cours de l'année prochaine.

« Le fait que les gens pensent que la segmentation est l'un des piliers fondamentaux de Zero Trust est important pour nous, car cela confirme ce que nous faisons », a déclaré Kirner.

Nouveau projet de loi britannique sur la réforme des données

Adam Brady, directeur de l'ingénierie des systèmes d'Illumio, a écrit pour Chaîne d'approvisionnement informatique à propos du nouveau projet de loi britannique sur la réforme des données. Le projet de loi détaille le plan du Royaume-Uni visant à remplacer l'actuel Règlement général sur la protection des données (RGPD), qui régit le traitement des données personnelles des personnes résidant au Royaume-Uni.

L'article met en lumière les débats en cours au sein du gouvernement britannique sur les réglementations en matière de cybersécurité, qui reflètent une tendance plus générale à les gouvernements prennent des mesures plus proactives développer de meilleures cyberdéfenses au sein des organisations publiques et privées.

Par rapport au RGPD actuel, Brady explique comment le projet de loi sur la réforme des données comportera des lois de protection des données plus flexibles et moins strictes. Il a noté que le Royaume-Uni devrait s'attendre à certains inconvénients liés à des lois de protection plus clémentes, mais il a souligné quelques avantages liés à la flexibilité accrue du projet de loi par rapport au RGPD.

Selon Brady, le nouveau projet de loi apportera une plus grande agilité aux processus commerciaux et réduira les frais administratifs grâce à l'assouplissement des réglementations de conformité. En outre, le traitement plus flexible des données personnelles par rapport au RGPD actuel attirera probablement les entreprises technologiques, de détail et autres au Royaume-Uni. Cela bénéficiera particulièrement aux petites entreprises, qui pourront consacrer moins de temps et d'argent à la garantie de la confidentialité et de la conformité des données.

Bien que le nouveau projet de loi contribue à garantir que les contrôles du traitement des données n'entravent pas le commerce, Brady a déclaré que le projet de loi ne contient pas de directives similaires en matière de cyberattaques. Les réglementations gouvernementales devraient garantir que les organisations sont prêtes à gérer les violations inévitables du réseau, et les conséquences qui en résultent sur le commerce et les chaînes d'approvisionnement. Brady a affirmé que les règles de cybersécurité du Royaume-Uni devraient correspondre à d'autres directives gouvernementales similaires qui recommandent une approche de sécurité Zero Trust pour se défendre contre les cyberattaques sophistiquées d'aujourd'hui.

Illumio remporte des prix de l'industrie

Pour terminer le mois, les Remote Tech Breakthrough Awards ont décerné à Illumio le Prix de l'entreprise de l'année dans le domaine de la sécurité du travail à distance dans le cadre de leur catégorie Leadership.

Depuis 2020, Illumio a lancé deux produits, Illumio CloudSecure et Illumio Edge, en mode entièrement distant. Les deux produits répondent aux défis uniques de cybersécurité posés aux entreprises par la pandémie mondiale en matière de sécurisation du cloud et des appareils des télétravailleurs.

En 2021, Illumio a remporté le prix de la solution globale de sécurité pour le travail à distance de l'année lors des Remote Tech Breakthrough Awards.

Ce mois-ci, Illumio a également remporté le Prix Zero Trust du choix de l'éditeur de Cyber Defense Magazine (CDM), le principal magazine de sécurité de l'information électronique du secteur. Ce prix souligne l'importance de la segmentation Zero Trust pour empêcher que les violations ne se transforment en cybercatastrophes.

Pour en savoir plus sur ce qui fait d'Illumio un leader de la segmentation Zero Trust :

• Téléchargez les rapports Forrester Wave désignant Illumio comme leader en matière de confiance zéro et de microsegmentation.
• Lisez comment Illumio a aidé un cabinet d'avocats international à stopper une attaque de rançongiciel.
• Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.