Zero Trust est l’un des termes qui ont souffert du gaspillage de la sobreexposition. Apparaissent dans les présentations commerciales, dans les rôles publics et dans les titulaires de presse, mais quand la question est basse sur terre, si en fait la même chose : ¿pour dónde empiezo ? L’entrée de NIS2 a accéléré les décisions, et de nombreuses organisations se sont engagées maintenant à la nécessité de démontrer que leur modèle de sécurité va plus loin que le périmètre traditionnel. Le problème est que Zero Trust ne peut pas être installé : il est conçu, enregistré et installé à mi-chemin.
Qué es et qué non es Zero Trust
Zero Trust n’est pas un produit ni une architecture unique. Il s’agit d’un modèle basé sur les trois principes définis par le NIST dans votre SP 800-207 : vérifier explicitement chaque accès en tenant compte de l’identité, de l’appareil, de l’emplacement et des risques ; concéder le minimum de privilège nécessaire et seul pendant le temps imprescindible ; et supposez que le problème est survenu, concevez les commandes pour limiter l’impact en cas de succès. Ce qui est important, ce ne sont pas les principes en soi, qui sont faciles à énoncer, si cela signifie que les applications exigent l’identité, les points de terminaison, le rouge, les données, les applications et le gouvernement de forme coordonnée. Il n’y a pas d’interrupteur magique.
Concevoir le chemin, pas seul le destin
C’est ici que se trouve la plupart des projets qui ont échoué. Vous vous lancez dans Zero Trust comme une liste de technologies à supprimer et non comme une stratégie évolutive. Le modèle de maturité Zero Trust de CISA, qui est aujourd’hui dans l’une des principales références, plante quatre phases, traditionnelle, initiale, avancée et optimale, à travers cinq piliers : identité, dispositifs, réseaux, applications et données, soutenus par des capacités transversales de visibilité, automatisation et gestion. Cette étude permet de faire quelque chose que les listes de contrôle ne permettent pas : situer honnêtement l’organisation sur la carte Zero Trust, prioriser les étapes suivantes en fonction du risque réel et démontrer les progrès réalisés avant la direction, les auditeurs et le régulateur.
Le chemin typique n’est pas le même pour tous. Une organisation des systèmes classiques et consolidés doit faire avancer la cape d’identité et traiter les données. Un industriel avec OT a le problème inverse. C’est pourquoi la première étape de toute initiative Zero Trust sera bientôt un objectif d’architecture, sans une évaluation de l’état d’avancement des travaux et une feuille de route de 12 à 24 mois avec des hits vérifiables.
Erreurs fréquentes
Le plus étendu est de combiner Zero Trust avec le désactivation de MFA et pour le reste. L’AMF est une condition nécessaire, mais non suffisante. Le deuxième est d’acheter des outils avant de définir la politique : n’importe quelle plate-forme, pour bien que la mer, amplifie le désir s’il n’y a pas un modèle d’identités, de dispositifs et de données. Et le troisième, quizá el más caro, est tratarlo comme un projet de sécurité en lieu et place d’une transformation qui affecte les opérations, le support et l’expérience de l’utilisateur. Sans cette conversation, la conversation interne se fera fréquemment, y compris les dépliements techniques bien exécutés.
Más allá del cumplimiento
NIS2, ENS ou ISO 27001 sont aujourd’hui le déclencheur de nombreuses conversations sur Zero Trust, mais cela signifie que nous souhaitons l’inversion. Une architecture Zero Trust bien conçue pour réduire la surface d’attaque, réduire les délais de réponse avant les incidents, simplifier l’accès à distance et permettre d’adopter de nouvelles technologies, entre elles à l’IA générative, avec un cadre de contrôle cohérent. Le complément est obtenu comme conséquence de faire la chose bien, pas comme objectif.
La question de toute organisation qui est en train de travailler n’est pas l’outil Zero Trust Elijo, mais c’est le point du modèle de vie qui est en ce moment et c’est la prochaine étape qui réduit davantage mon risque. C’est la conversation qui vous fera gagner du temps.
