Présentation de la Confiance Zéro

  • 5 minutes

Une approche confiance zéro pour la sécurité est nécessaire pour être efficace pour tenir compte des menaces, des modifications apportées aux plateformes cloud et des changements dans les modèles métier répondant à un monde en évolution rapide. Vous trouverez les meilleures pratiques pour adopter une approche confiance zéro pour la sécurité dans l’architecture de référence de cybersécurité Microsoft (MCRA) et le benchmark de sécurité cloud Microsoft (MCSB).

L’approche Confiance Zéro Microsoft repose sur trois principes : supposer une violation, vérifier explicitement et des privilèges minimum.

Principes fondamentaux de confiance zéro

  • Vérifiez explicitement : authentifiez et autorisez toujours en fonction de tous les points de données disponibles.

  • Utilisez l’accès minimum aux privilèges : limitez l’accès utilisateur avec Just-In-Time et Just-Enough-Access (JIT/JEA), les stratégies adaptatives basées sur les risques et la protection des données.

  • Supposer une violation – Minimaliser le rayon d’impact et la segmentation des accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Il s’agit du cœur de la confiance zéro. Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».

Il est conçu pour s’adapter à la complexité de l’environnement moderne qui englobe la main-d’œuvre mobile, protège les personnes, les appareils, les applications et les données où qu’elles se trouvent.

Une approche Confiance Zéro doit être appliquée sur l’intégralité du patrimoine numérique et faire office de philosophie de sécurité intégrée et de stratégie de bout en bout. Pour ce faire, implémentez des contrôles et technologies Confiance Zéro sur six éléments fondamentaux. Chacun d’eux est une source de signal, un plan de contrôle pour l’application et une ressource critique à défendre.

Diagramme des éléments de visibilité, d’automatisation et d’orchestration dans Confiance Zéro.

Différentes exigences organisationnelles, implémentations technologiques existantes et étapes de sécurité affectent toutes la façon dont une implémentation de modèle de sécurité Confiance Zéro est planifiée. En utilisant notre expérience pour aider les clients à sécuriser leurs organisations, ainsi qu’à implémenter notre propre modèle Confiance Zéro, nous avons développé les conseils suivants pour évaluer votre préparation et vous aider à créer un plan pour accéder à Confiance Zéro.

Ces principes s’appliquent à l’ensemble du patrimoine technique et sont généralement appliqués à une transformation de confiance zéro par le biais d’une série d’initiatives de modernisation (RaMP) ou de piliers technologiques (avec des conseils de déploiement pour chaque pilier).