Pratiques de cybersécurité avec vérification systématique (Zero Trust)

Approche pour protéger les PME contre les cyber-incidents

Au sein de notre monde virtuel en constante évolution, pourquoi l’archétype du château et des fossés est-il désuet et pourquoi de nombreuses organisations – y compris les PME – évoluent-elles vers un modèle de sécurité avec vérification systématique (Zero Trust) pour mieux protéger leurs données dans les environnements réseaux complexes et distribués d’aujourd’hui? D’une part, l’archétype du château et des fossés en cybersécurité est un modèle de sécurité réseau traditionnel dans lequel le réseau est compris comme un château et les défenses du périmètre (pares-feux et systèmes de détection d’intrusion) sont les fossés[1]. Comment fonctionne l’archétype du château et des fossés¹? Dans l’archétype du château et des fossés, l’organisation se concentre sur la construction de solides défenses externes (les fossés) pour protéger tout ce qui se trouve à l’intérieur du réseau (le château). Cette approche suppose que tout ce qui se trouve à l’intérieur du réseau est digne de confiance, tandis que l’objectif principal est d’empêcher les cyberattaquants de pénétrer.

D’autre part, le modèle de sécurité avec vérification systématique est un cadre de sécurité robuste qui renverse les prémices de la sécurité réseau traditionnelle. Au lieu de supposer que tout ce qui se trouve à l’intérieur du réseau d’une organisation est sécuritaire, le modèle de sécurité avec vérification systématique prône l’état d’esprit suivant : « ne jamais faire confiance, toujours vérifier ». Cela signifie que chaque demande d’accès, qu’elle provienne de l’intérieur ou de l’extérieur du réseau, doit être authentifiée, autorisée et validée en permanence. L’objectif ultime du modèle de sécurité avec vérification systématique est d’aider les organisations, y compris les PME, à mieux protéger leurs données, à réduire les risques de cybermenaces dommageables, et à améliorer la résilience globale en matière de cybersécurité. Il s’agit davantage d’une approche proactive et intégrale pour protéger les informations confidentielles dans un paysage numérique de plus en plus complexe.

[1] Mark Buckwell, Stefaan Van Daele & Carsten Horst. Security Architecture for Hybrid Cloud: A Practical Method for Designing Security Using Zero Trust Principles. Paperback 1st Edition published on the 3rd of September 2024 by O’Reilly Media – American Publishing Company, Sebastopol, California, USA, 474 pages. Security Architecture for Hybrid Cloud [Book]

L’archétype du château et des fossés

• Le château : représente le réseau interne. Par défaut, tout ce qui se trouve à l’intérieur du réseau est approuvé.
• Le fossé : symbolise les défenses du périmètre du réseau. Ces défenses sont conçues pour empêcher les menaces extérieures de pénétrer à l’intérieur.
• Le pont-levis : évoque les points d’accès au réseau. Une fois à l’intérieur, les utilisateurs peuvent accéder à toutes les ressources du réseau.

Caractéristiques clés de l’archétype du château et des fossés

• Défenses du périmètre : elles se concentrent sur la protection du périmètre du réseau avec des pares-feux, un système de détection d’intrusion (SDI), un système de prévention des intrusions (SPI) et d’autres mesures de sécurité.
• Confiance interne : elle suppose que tout ce qui se trouve à l’intérieur du réseau est sécuritaire et digne de confiance.
• Point d’entrée unique : il s’appuie sur un point d’entrée unique et bien défendu vers le réseau.

Problèmes avec l’archétype du château et des fossés

• Menaces internes : une fois que le cyberattaquant franchit le périmètre, il peut librement accéder à l’ensemble du réseau.
• Modèle désuet : dans le sillage de l’essor de la technologie de l’infonuagique et du télétravail, les données ne sont plus confinées à un seul emplacement.
• Flexibilité limitée : ne convient pas aux environnements modernes et distribués.

Quelle est l’alternative moderne à l’archétype désuet du château et des fossés?

L’alternative actuelle à l’archétype désuet du château et des fossés est le modèle de sécurité avec vérification systématique. En quelques mots, la sécurité avec vérification systématique est un modèle de cybersécurité qui fonctionne sur le principe selon lequel personne, que ce soit à l’intérieur ou à l’extérieur du réseau, ne doit être digne de confiance par défaut¹. Au lieu de cela, tout doit être vérifié en permanence pour assurer la sécurité.

[1] Avinash Naduvath, CCIE. In Zero Trust We Trust: A Practical Guide to Adopting Zero Trust Architectures. Paperback 1st Edition published on the 9th of April 2024 by Cisco Press, Hoboken, New Jersey, USA, 400 pages. In Zero Trust We Trust | Cisco Press

Comparaison conceptuelle entre l’archétype du château et des fossés et le modèle de sécurité avec vérification systématique

Pour la rétention des connaissances destinées aux PME, entrepreneurs et lecteurs partout au Canada, faisons brièvement une comparaison conceptuelle entre l’archétype du château et des fossés, et le modèle de sécurité avec vérification systématique.

Avantages pour les PME de mettre en œuvre la vérification systématique avec l’aide d’un expert

• Solutions sur mesure : les experts peuvent fournir des solutions personnalisées qui correspondent à vos objectifs commerciaux spécifiques et à vos exigences de sécurité.
• Mise en œuvre efficace : avec les conseils d’experts, le processus de mise en œuvre peut être plus efficace et moins perturbateur pour vos opérations.
• Soutien continuel : le soutien continuel des experts garantit que votre environnement de vérification systématique demeure robuste et à jour.

En suivant les 8 étapes décrites ci-dessus pour mettre en œuvre le modèle de vérification systématique, les PME partout au Canada peuvent concevoir un cadre de sécurité robuste pour la vérification systématique qui protège leurs précieux clients et elles-mêmes contre les cybermenaces internes et externes.

Architecture de vérification systématique (AVS) pour les PME qui sont en expansion

Essentiellement une stratégie de conception et de mise en œuvre de systèmes et de réseaux informatiques, le concept d’architecture de vérification systématique (AVS) a été introduit pour la première fois en 2010 par John Kindervag¹, ancien Analyste en Informatique chez Forrester Research Inc. Les travaux de Kindervag ont mis l’accent sur l’élimination de la confiance implicite au sein des systèmes et des réseaux informatiques, et sur la vérification continuelle de l’identité et de la fiabilité des utilisateurs et des appareils à chaque étape de l’interaction numérique. Les principes² de l’architecture de vérification systématique (AVS) se concentrent principalement sur la vérification continuelle, l’accès au moindre privilège et la micro-segmentation pour protéger les environnements modernes et permettre la transformation numérique. À la base de ces principes d’AVS se trouve l’attitude fondamentale selon laquelle les utilisateurs et les appareils ne doivent pas être approuvés par défaut, même s’ils sont connectés à un réseau privilégié et fiable tel qu’un réseau local d’entreprise (RLE, en anglais = LAN), et même s’ils ont été préalablement vérifiés. De cette manière, le concept d’architecture de vérification systématique (AVS) contraste avec les anciens modèles de sécurité qui supposaient la confiance de tous les utilisateurs et appareils à l’intérieur du périmètre du réseau. L’architecture de vérification systématique (AVS) est particulièrement bénéfique pour les petites et moyennes entreprises (PME) qui se développent rapidement pour devenir des organisations plus grandes.

[1] John Kindervag. “Build Security into Your Network’s DNA: The Zero Trust Network Architecture”. 27-page paper published on the 5th of November 2010 by Forrester Research Inc., Cambridge, Massachusetts, USA. Forrester_zero_trust_DNA.pdf

[2] Nathan Howe, Sanjit Ganguli & Gerard Festa. Seven Elements of Highly Successful Zero Trust Architecture. Hardcover edition published on 22nd May 2023 by Zscaler Inc., American Cloud Security Company headquartered in San Jose, California, USA. 162 pages. Seven Elements of Highly Successful Zero Trust Architecture | Zscaler

Conseils AVS suggérés aux PME qui sont en expansion

• Choisissez des solutions AVS qui peuvent évoluer avec la taille des PME respectives.
• Automatisez les processus parce qu’une plus grande organisation signifie plus d’éléments à gérer.
• Établissez votre cadre de cybersécurité avec des politiques et des procédures documentées et assurez-vous de consigner toutes les actions de cybersécurité.

La mise en œuvre de l’architecture de vérification systématique (AVS) peut améliorer considérablement la posture de cybersécurité de vos PME en expansion en garantissant que chaque demande d’accès est vérifiée et que les cybermenaces sont détectées et atténuées rapidement. Certains des principaux avantages AVS pour les PME en pleine croissance sont résumés comme suit : des pratiques de cybersécurité améliorées, une protection pour le télétravail, une compatibilité avec les services d’infonuagique, une évolutivité et une flexibilité adaptées aux besoins des PME en pleine expansion, la conformité aux exigences réglementaires et des bénéfices rentables à long terme.

Conclusion

Après notre exploration condensée des pratiques de cybersécurité avec vérification systématique protégeant les PME canadiennes contre les cyber-incidents nuisibles, il reste encore deux (2) questions auxquelles nous devons répondre en guise de conclusion à notre Infolettre du mois de février 2025?

• Question conclusive 1 : comment le modèle de sécurité avec vérification systématique pour les PME évoluera-t-il dans un avenir rapproché?
• Question conclusive 2 : comment les pratiques de cybersécurité avec vérification systématique seront-elles avantageuses pour les PME?

Réponse désignée à la question conclusive 1 : comment le modèle de sécurité avec vérification systématique pour les PME évoluera-t-il dans un avenir rapproché?

L’avenir de la vérification systématique pour les PME s’annonce prometteur et devrait évoluer de manière distinctive. Voici quelques tendances et perspectives notables^1,2,3 concernant les pratiques de cybersécurité avec vérification systématique pour l’amélioration des PME :

Tendances et perspectives notables relatives aux pratiques de cybersécurité avec vérification systématique pour les PME

1. Adoption généralisée : la vérification systématique devient le modèle de sécurité par défaut pour les entreprises. Au fur et à mesure que les PME continuent d’adopter des services technologiques d’infonuagique et des modèles de travail hybrides, la vérification systématique deviendra essentielle pour protéger leurs données et leurs systèmes.
2. Intégration avec SASE : le périphérique de Service d’accès sécurisé d’entreprise (SASE) jouera un rôle crucial dans l’évolution de la vérification systématique. SASE combine des fonctions de sécurité réseau avec des capacités de réseau étendu (RE, en anglais : Wide Area Network = WAN) pour prendre en charge les environnements informatiques dynamiques et faciliter les besoins d’accès sécurisé des PME.
3. Automatisation et IA : l’utilisation de l’automatisation et de l’intelligence artificielle (IA) améliorera les mises en œuvre de la vérification systématique. L’IA peut aider à la détection des cybermenaces en temps réel, à l’intervention face aux cyber-incidents, et à la vérification continue des utilisateurs et des appareils.
4. Concentration sur les menaces internes : à cause de l’essor du télétravail, les cybermenaces internes deviennent de plus en plus importantes. La vérification systématique se concentrera de plus en plus sur l’atténuation de ces cybermenaces en surveillant et en vérifiant en permanence toutes les tentatives d’accès.
5. Plateformes de sécurité unifiées : il y aura une évolution vers des plateformes de sécurité unifiées qui offrent une visibilité de bout en bout et des intégrations entre produits. Cela simplifiera les opérations et réduira les coûts pour les PME.
6. Formation de sensibilisation à la vérification systématique : en raison de la prolifération des cybermenaces complexes, notamment les attaques d’hameçonnage fondées sur l’IA, les PME vont prioriser la formation de sensibilisation à la vérification systématique pour leurs employés. Une formation régulière aide les employés à reconnaître et à résister aux tentatives d’hameçonnage et autres tactiques de manipulation psychologique.
7. Sécurité de la chaîne d’approvisionnement : les PME sont de plus en plus conscientes des risques reliés aux attaques de la chaîne d’approvisionnement. Il est essentiel de s’assurer que les fournisseurs réguliers et les fournisseurs de services tiers adhèrent aux principes de la vérification systématique pour mettre en œuvre, appliquer, gérer et maintenir des pratiques intégrales de saine cybersécurité.

Réponse désignée à la question conclusive 2 : comment les pratiques de cybersécurité avec vérification systématique seront-elles avantageuses pour les PME?

Avantages des pratiques de cybersécurité avec vérification systématique pour les PME

1. Posture de sécurité renforcée
   En mettant en œuvre les principes de la vérification systématique, les PME peuvent réduire considérablement les risques de cyberattaques. L’authentification et l’autorisation continuelles garantissent que seuls les utilisateurs et les appareils de confiance peuvent accéder aux renseignements confidentiels.
2. Dommages minimisés causés par les violations
   Grâce à la vérification systématique via micro-segmentation et accès au moindre privilège, même si une violation se produit, l’impact est limité et les dommages potentiels sont minimisés. Les cyberattaquants ne peuvent pas se déplacer latéralement à l’intérieur du réseau.
3. Amélioration de la conformité
   Les pratiques de la vérification systématique aident les PME à répondre aux exigences réglementaires et de conformité en appliquant des contrôles d’accès stricts et une surveillance continuelle. Cela peut être particulièrement bénéfique pour les secteurs soumis à des réglementations strictes en matière de protection des données.
4. Évolutivité
   La vérification systématique est évolutive et elle peut se transformer avec l’entreprise. Les PME peuvent commencer avec les composantes essentielles et étendre progressivement leur architecture de vérification systématique (AVS) à mesure que leurs besoins et leurs ressources évoluent.
5. Sécurité économique
   Bien que la mise en œuvre initiale puisse nécessiter un investissement, la vérification systématique peut être rentable à long terme. En prévenant les violations et en minimisant les dommages, les PME peuvent économiser sur les coûts relatifs à la perte de données, aux temps d’arrêt et à la récupération après une cyber attaque.
6. Adaptabilité au travail à distance
   Avec l’accroissement des environnements de travail à distance et hybrides, la vérification systématique fournit des mesures de sécurité robustes qui protègent les données et les systèmes, peu importe où se trouvent les employés. Une telle adaptabilité est vitale pour les PME modernes.
7. Protection contre les menaces internes
   Les principes de la vérification systématique, tels que la surveillance continuelle et l’accès au moindre privilège, aident à détecter et à atténuer les menaces internes. En s’assurant que les employés n’ont que l’accès dont ils ont besoin, le risque d’actions internes malveillantes ou involontaires est réduit.
8. Renforcement de la confiance avec les partenaires et les clients
   La mise en œuvre de la vérification systématique peut améliorer la réputation d’une PME et renforcer la confiance avec ses partenaires et ses clients. Faire preuve d’un engagement envers des mesures de cybersécurité robustes peut constituer un avantage concurrentiel et favoriser des relations d’affaires plus solides.

En conclusion, l’avenir des pratiques de cybersécurité avec vérification systématique pour les PME consistera à s’adapter à l’évolution du paysage de la cybersécurité et à profiter des technologies informatiques avancées pour garder une longueur d’avance sur les cybermenaces et les cyber-incidents nuisibles. Dans l’ensemble, la cybersécurité avec vérification systématique devrait devenir un élément fondamental des stratégies de cybersécurité⁴, aidant ainsi les organisations, y compris les PME, à garder une longueur d’avance sur les cybermenaces évolutives et nouvelles, et à assurer une protection résolue de leurs précieux actifs et clients.

[1] Jason Garbis and Jerry W. Chapman. Zero Trust Security: An Enterprise Guide. Softcover Edition published on the 27th of February 2021 by Springer Science + Business Media Publishing, 1 New York Plaza, New York City, USA, 300 pages. Zero Trust Security: An Enterprise Guide | SpringerLink

[2] Razi Rais, Christina Morillo, Evan Gilman & Doug Barth. Zero Trust Networks: Building Secure Systems in Untrusted Networks. 2nd Paperback Edition published on the 1st of February 2024 by O’Reilly Media – American Publishing Company, Sebastopol, California, USA, 240 pages. Zero Trust Networks, 2nd Edition [Book]

[3] Ravi Jay Gunnoo. Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World. 1st Edition published in Paperback – Large Print Format and e-Book Version. Publication date: the 18th of September 2024. Publishing Company: Amazon Publishing, Seattle, State of Washington, USA, 728 pages. CYBERSECURITY EDUCATION COMPENDIUM: Harnessing Digital Safety Best Practices Across the World: Gunnoo, Ravi Jay: 9798336620344: Books – Amazon.ca

[4] SANS Institute – Escal Institute of Advanced Technologies. GIAC Certifications Cybersecurity Research & Development. Building a Zero Trust Framework: Key Strategies for 2024 and Beyond. SANS Institute, Rockville, Maryland, USA. Online publication dated the 22nd of July 2024. Building a Zero Trust Framework: Key Strategies for 2024 and Beyond

Ressources et références

Mark Buckwell, Stefaan Van Daele & Carsten Horst. Security Architecture for Hybrid Cloud: A Practical Method for Designing Security Using Zero Trust Principles. Paperback 1st Edition published on the 3rd of September 2024 by O’Reilly Media – American Publishing Company, Sebastopol, California, USA, 474 pages. Security Architecture for Hybrid Cloud [Book]

Avinash Naduvath, CCIE. In Zero Trust We Trust: A Practical Guide to Adopting Zero Trust Architectures. Paperback 1st Edition published on the 9th of April 2024 by Cisco Press, Hoboken, New Jersey, USA, 400 pages. In Zero Trust We Trust | Cisco Press

Stephen Paul Marsh. Formalising Trust as A Computational Concept: Doctoral Thesis on Computational Security. University of Sterling, Department of Computing Science and Mathematics, Scotland, 1994. Published in e-format by Google Books, 170 pages. Formalising Trust as a Computational Concept – Stephen Paul Marsh – Google Books

World Economic Forum (WEF) – International Community Paper 2022. The “Zero Trust” Model in Cyber Security: Towards Understanding and Deployment. WEF Headquarters, Geneva, Switzerland, 19 pages. https://www3.weforum.org/docs/WEF_The_Zero_Trust_Model_in_Cybersecurity_2022.pdf

Mark Simos & Nikhil Kumar. Zero Trust Overview and Playbook Introduction: Guidance for Business, Security, and Technology Leaders and Practitioners. Published on the 30th of October 2023 by Packt Publishing, Birmingham, UK, 240 pages. Zero Trust Overview and Playbook Introduction | Cloud & Networking | eBook

Greyson Chesterfield. Zero Trust Architecture Implementation: Modern Security Models for Enhanced Protection. Published on the 27th of January 2025 by Amazon USA Publishing, Seattle, State of Washington, USA, 227 pages. Zero Trust Architecture Implementation: Modern Security Models for Enhanced Protection: Chesterfield, Greyson: 9798306487694: Books – Amazon.ca

Jason Garbis and Jerry W. Chapman. Zero Trust Security: An Enterprise Guide. Softcover Edition published on the 27th of February 2021 by Springer Science + Business Media Publishing, 1 New York Plaza, New York City, USA, 300 pages. Zero Trust Security: An Enterprise Guide | SpringerLink

Razi Rais, Christina Morillo, Evan Gilman & Doug Barth. Zero Trust Networks: Building Secure Systems in Untrusted Networks. 2nd Paperback Edition published on the 1st of February 2024 by O’Reilly Media – American Publishing Company, Sebastopol, California, USA, 240 pages. Zero Trust Networks, 2nd Edition [Book]

Ravi Jay Gunnoo. Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World. 1st Edition published in Paperback – Large Print Format and e-Book Version. Publication date: the 18th of September 2024. Publishing Company: Amazon Publishing, Seattle, State of Washington, USA, 728 pages. CYBERSECURITY EDUCATION COMPENDIUM: Harnessing Digital Safety Best Practices Across the World: Gunnoo, Ravi Jay: 9798336620344: Books – Amazon.ca

SANS Institute – Escal Institute of Advanced Technologies. GIAC Certifications Cybersecurity Research & Development. Building a Zero Trust Framework: Key Strategies for 2024 and Beyond. SANS Institute, Rockville, Maryland, USA. Online publication dated the 22nd of July 2024. Building a Zero Trust Framework: Key Strategies for 2024 and Beyond

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les organisations d’affaires et les PME des 10 provinces et 3 territoires du Canada.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001 et ISO 27701
B.Sc. Informatique et Mathématique, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada