Zero-trust: un chemin sûr vers une meilleure expérience des employés

Imaginez que vous vous trouvez pour la première fois dans une ville étrangère et que vous devez prendre un taxi pour rejoindre votre destination. Lorsque le taxi s'arrête, on est condamné à une inspection visuelle éclair: il suffit que le véhicule ressemble à un taxi, soit affublé du signe "taxi" et porte une licence et le nom de la société de taxis, pour que l’on monte à bord - à moins bien sûr que le véhicule ne soit en piteux état. Une fois à bord, on doit faire confiance au chauffeur. Et partir du principe qu'il nous conduira sans encombre à notre destination, qu'il ne mettra pas notre sécurité en danger par des excès de vitesse ou une conduite en état d'ivresse et qu'il évitera les détours inutiles. Certes, l’expérience laisse une drôle d’impression, mais elle reste gérable.

Du point de vue de l'équipe informatique chargée de la sécurité du réseau d'entreprise, les comptes utilisateur ressemblent à de petits taxis: les terminaux font office de "véhicules" que les collaborateurs utilisent pour naviguer sur les autoroutes de données de l'entreprise, tandis que les profils utilisateurs et les mots de passe associés font office de "licence de taxi" - des taxis qui, comme dans le monde réel, peuvent avoir des accidents ou même être détournés par des personnes mal intentionnées. Alors que les entreprises pouvaient jadis se contenter d’exiger qu’on leur présente, pour ainsi dire, les documents nécessaires, les équipes de sécurité IT et réseau ne peuvent aujourd’hui plus partir simplement du principe que ces taxis sont sûrs et responsables – il leur faut en être certaines.

Deux facteurs principaux expliquent ce changement: premièrement, dans le monde de l’entreprise, pratiquement tous les processus d’affaires dépendent aujourd’hui d'une infrastructure IT fiable et sécurisée. L'équipe de sécurité informatique doit donc surveiller de près qui utilise cette infrastructure et comment. Deuxièmement, le versant utilisateur est devenu beaucoup plus hétérogène. Il y a vingt ans - ou même à peine dix ans - la plupart des collaborateurs employaient des appareils de leur employeur pour accéder aux ressources de l'entreprise à partir de son réseau. Aujourd’hui, la situation est très différente - et beaucoup plus complexe.

Avant même la crise actuelle, avec ses confinements et l'essor des scénarios de télétravail, les employés travaillaient de manière de plus en plus flexible: ils accédaient de plus en plus aux applications et aux données depuis n'importe où – depuis leur domicile, mais aussi depuis depuis l'hôtel, le train ou l'avion lors d’un voyage d’affaires, ou même depuis leur café préféré. Idem pour la tendance au "Bring Your Own Device" (BYOD) qui s'est imposée depuis longtemps, avec l'utilisation d'appareils aussi bien d'entreprise que privés. Dans le même temps, de plus en plus d'applications et de données auxquelles les employés ont accès ne se trouvent plus dans le centre de données de l'entreprise, mais dans le cloud – et la plupart du temps dans une multitude de clouds publics. Le travail numérisé d'aujourd'hui se caractérise donc par une mobilité et une flexibilité croissantes, et des enquêtes récentes de Citrix indiquent que cette tendance à un travail à distance plus flexible se poursuivra même après la crise actuelle.

Le défi consiste donc à garantir le niveau de sécurité nécessaire dans un environnement de plus en plus complexe. Pour y parvenir, l'approche Zero Trust remplace le contrôle de sécurité initial du premier coup d'œil par des mesures suivant le principe "ne jamais faire confiance, toujours vérifier". Ainsi, dans le ZTNA, un logiciel de sécurité basé sur des algorithmes d'IA surveille en permanence le comportement des utilisateurs (plus précisément: les comptes d'utilisateurs) et leurs terminaux, et analyse les écarts par rapport aux règles prédéfinies et aux modèles de comportement historiques.

La première étape consiste à vérifier en permanence l'identité de l'utilisateur, idéalement par le biais d'une authentification multifactorielle à l’aide d’un token matériel ou applicatif. La deuxième étape consiste à surveiller les appareils finaux, de leur appartenance (entreprise, privé) à leur niveau de patching. Cette vigilance de tous les instants permet à l'infrastructure ZTNA de réagir immédiatement à toute activité suspecte, par exemple si une demande de connexion provient de Londres, mais qu'une minute plus tard, la demande suivante provient de Singapour - une indication claire que le compte utilisateur a été détourné. Dans ce cas, le logiciel ZTNA peut alerter l'équipe de sécurité ou même, si le service informatique l'a autorisé, bloquer automatiquement l'accès de l’utilisateur. Dans d'autres cas moins évidents, le logiciel peut demander à l'utilisateur de fournir une preuve d'identité supplémentaire, par exemple via deuxième facteur d'authentification. Dans l'intérêt d'une sécurité élevée des informations, l'accès des utilisateurs aux ressources peut également être limité à celles véritablement justifiées par leur rôle. Il est également utile d’y ajouter des règles configurables restreignant l'accès des utilisateurs en fonction du contexte: l'utilisateur X est autorisé à accéder à tout type d'app ou de données depuis n'importe où et avec n'importe quel appareil, mais l'utilisateur Y n'est autorisé qu'à utiliser le courrier électronique et le web à distance, tandis que l'utilisateur Z n'est autorisé à accéder aux analyses de données professionnelles sensibles qu'avec une authentification à deux facteurs et un appareil de l'entreprise.

Il est important de noter que lors de la mise en œuvre du ZTNA, l'accent doit être mis sur l'expérience utilisateur: les politiques d'accès doivent être conçues de manière à offrir pour toute la souplesse dont les collaborateurs ont besoin dans leurs activités quotidiennes. Une fois ces politiques définies, l'attrait du ZTNA réside dans le fait que le logiciel recourt à l'IA pour déterminer automatiquement les valeurs de référence des comportements courants et n'intervient que lorsqu'il y a lieu de soupçonner quelque chose. La plupart du temps, les utilisateurs ne remarquent pas les algorithmes d'IA qui travaillent en arrière-plan, ce qui . rend le Zero Trust Networking beaucoup plus convivial que les solutions de sécurité IT usuelles. Le ZTNA permet ainsi de concilier idéalement une sécurité robuste et une utilisation sans souci. Les collaborateurs peuvent travailler sans être distraits ou interrompus, mais avec la certitude que leur espace de travail numérique est sécurisé en tout temps.

En d'autres termes, une architecture réseau Zero Trust - qu'elle fasse partie de l’environnement de travail ou qu'il s'agisse d'une solution ZTNA autonome – ne quitte pas le chauffeur de taxi des yeux, non seulement en montant dans le taxi, mais tout au long du trajet. L’architecture ZTNA permet ainsi aux employés de voyager en toute sécurité dans le monde complexe et hybride multi-cloud d'aujourd'hui. Contrairement à ce que suggère son nom, le Zero Trust permet d'instaurer en permanence la confiance nécessaire à un environnement de travail efficace et sûr tout en offrant une excellente expérience aux employés.

Pour en savoir plus sur la mise en œuvre d'une architecture réseau à confiance zéro avec Citrix, consultez le site suivant: