Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Sécurité Zero Trust | Ping Identity
Fondamentaux de la Gestion des Identités
Expand All | Collapse All
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
L’authentification basée sur un jeton
Single Sign-On (SSO)
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Authentication and Authorization Protocols
LDAP
SCIM
WebAuthn

Sécurité Zero Trust

 

Le Zero Trust est le nouveau standard de sécurité des réseaux qui limite strictement l’accès des utilisateurs sur la base d’une politique d’autorisation dynamique. Ce modèle de sécurité exige que tous les utilisateurs, qu’ils appartiennent ou non au réseau de l’organisation, soient authentifiés, autorisés et validés en continu en adéquation avec la configuration et la posture de sécurité avant de pouvoir accéder aux applications et aux données.

 

En considérant qu’on ne peut faire confiance à rien de ce qui est connecté au réseau, un modèle de sécurité zero trust implique une surveillance et une évaluation permanentes des risques de sécurité touchant tous les utilisateurs et de toutes les ressources du réseau, qu’il s’agisse des terminaux, des unités de stockage et des applications.

 

Pour la sécurité des utilisateurs, ceci implique la mise en place d’une politique d’authentification et d’autorisation dynamique pour évaluer les risques à la fois avant de donner accès au réseau et durant la session. Pour la sécurité des ressources du réseau, ceci implique de surveiller l’utilisation et les postures de sécurité, en n’oubliant aucune mise à jour et aucun correctif, et en ajustant les configurations.

 

Les trois principes de base d’un modèle de sécurité zero trust sont :

 

  • Vérification explicite : Authentification et autorisation de chaque utilisateur et de chaque terminal sur chaque session, en utilisant autant de données que possible pour déterminer leur niveau de risque.
     

  • Principe du moindre privilège : Ne permettre à l’utilisateur d’accéder qu’aux ressources dont il a besoin à un moment, et uniquement pendant la durée dont il en a besoin lors de cette session.
     

  • Envisager une faille : Agir comme s’il y avait une faille dans votre réseau. Limiter l’accès aux ressources, vérifier le chiffrement de bout en bout et utiliser les analyses pour surveiller l’activité du réseau, détecter les menaces et ajuster les politiques d’accès.
     

Principes de la sécurité zero trust

 

Selon le standard 800-207 du National Institute of Standards and Technology, les principes d’un cadre de sécurité zero trust sont les suivants :

 

  • Toutes les sources de données et tous les services informatiques sont considérés comme des ressources. Cela inclut différentes classes de ressources telles que les applications SaaS, les API, les appareils de l’Internet des Objets (IdO) ainsi que les appareils personnels s’ils ont accès aux ressources du réseau.

     

  • Toutes les communications sont sécurisées, quel que soit l’emplacement du réseau. Qu’un accès des ressources ait lieu sur site, sur un VPN ou à distance, les exigences de sécurité devraient être les mêmes. Aucune confiance ne devrait être accordée en fonction de l’emplacement du réseau.

     

  • L’accès aux ressources individuelles est accordé sur la base de chaque session, selon les principes suivants :

     

    • La confiance dans le demandeur est évaluée avant d’accorder l’accès à une quelconque ressource.

    • L’accès devrait être accordé avec le moins de privilèges possible pour accomplir la tâche.

    • Accéder à une ressource ne donne pas automatiquement accès à d’autres ressources.

       

  • L’accès aux ressources est déterminé par une politique dynamique. La politique d’accès est constituée par un ensemble de règles qui déterminent à quelles ressources un utilisateur peut accéder. Une politique d’accès dynamique inclut non seulement des attributs statiques, comme l’appartenance à un groupe, mais aussi des variables telles que l’heure de la journée, la durée de la session, l’emplacement de l’appareil et le comportement de l’utilisateur.

    De bonnes politiques d’accès dynamiques tiennent également compte des variables environnementales telles que le niveau de trafic et les schémas comportementaux anormaux.

     

  • L’organisation mesure et surveille la posture de sécurité de toutes les ressources du réseau. Aucune confiance n’est accordée intrinsèquement aux ressources. Tous les appareils, applications et API sont surveillés pour les vulnérabilités déjà connues et les compromis potentiels. Les ressources sont mises à jour et corrigées régulièrement et reconfigurées quand cela est nécessaire.

     

  • L’organisation collecte des données et les utilise pour améliorer les politiques d’accès. L’organisation devrait collecter des données sur la posture de sécurité des ressources, les schémas de trafic ainsi que sur les demandes d’accès et les vérifier régulièrement pour évaluer et ajuster les politiques d’accès.

 

Fonctionnement du zero trust

 

Le système évalue des attributs tels que l’ID de l’appareil, la géolocalisation, l’heure de la journée et le rôle de l’utilisateur pour évaluer les demandes d’autorisation pour accéder aux ressources, comme les data stores et les applications. Le système évalue séparément chaque demande d’authentification et chaque demande d’autorisation, en utilisant des politiques d’accès dynamiques, mais aussi en tenant compte des attributs du compte utilisateur et de l’appareil, du type de réseau et des conditions environnementales actuelles.

 

Les demandes qui correspondent à cette politique sont accordées. Les demandes inhabituelles ou suspectes sont orientées vers une authentification supplémentaire ou rejetées et signalées pour être vérifiées ultérieurement.

 

Les moteurs d’évaluation des risques élaborent des profils sur la manière dont les utilisateurs et les classes d’utilisateurs interagissent typiquement avec les applications et les data stores. Lorsqu’il surveillent et authentifient les utilisateurs, ils détectent et signalent les comportements anormaux.

 

En s’appuyant sur des politiques d’accès complexes qui évaluent chaque demande à l’extérieur et à l’intérieur du réseau, les systèmes de sécurité zero trust exigent à la fois l’automatisation et des politiques bien conçues informées par une surveillance permanente.

 

Quelles sont les alternatives au zero trust ?

 

Les précédents cadres de sécurité du réseau s’appuyaient sur une défense du périmètre pour sécuriser les ressources du réseau. Les applications et les données sont sécurisées par des pare-feux, des VPN et autres défenses statiques. Après s’être authentifié, un utilisateur pouvait accéder aux ressources fédérées au sein du réseau. Des ressources plus sensibles pourraient être protégées par plusieurs couches de sécurité ou des exigences accrues, comme l’authentification multifacteur (MFA).

 

Une autre stratégie consiste pour une organisation à délivrer des appareils de confiance à ses utilisateurs. Ces appareils sont sécurisés et gérés par l’organisation, et ils sont régulièrement mis à jour avec des correctifs et de nouvelles politiques.

 

L’inconvénient de ces approches de la sécurité est que lorsqu’un acteur malveillant a réussi à franchir la barrière, il peut quasiment accéder à toutes les ressources qui s’y trouvent. Étant donné que la plupart des failles de sécurité incluent des acteurs malveillants utilisant des identifiants valides pour accéder à un réseau, ce type de cadre de sécurité passif ne suffit pas à protéger la plupart des systèmes.

 

 

Pourquoi choisir le zero trust ?

 

Zero trust est un cadre de sécurité dynamique et actif qui évolue pour gérer de grandes quantités d’utilisateurs, les ressources des réseaux et les transactions.

 

Le Zero Trust sécurise individuellement chacune des ressources de votre réseau, en limitant leur exposition en cas de faille.

 

Étant donné que le zero trust ne privilégie pas l’emplacement du réseau, il permet à votre organisation de renforcer la sécurité de l’infrastructure existante, comme les VPN, en les intégrant aux politiques de sécurité dynamiques. Le Zero Trust simplifie aussi votre expérience utilisateur en éliminant la nécessité du MFA pour les transactions de routine présentant un faible niveau de risque.

 

Ressources Annexes

Guide
Guide à usage des responsables sécurité : IAM et modèle Zero Trust

Le guide à l’usage des responsables de la sécurité pour un réseau à haut niveau de sécurité dans un monde où l’accès se fait depuis n’importe où.

Blog
Prêt à démarrer avec Zéro Trust ? Commencer par la gestion des identités

Le taux d’adoption du modèle Zéro Trust s’accroît dans le monde entier. Découvrez pourquoi la gestion des identités est essentielle pour démarrer le déploiement d’une architecture Zéro Trust.

Lancez-vous dès Aujourd'hui

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.

Contactez-Nous

sales@pingidentity.com

+1 877-898-2905

Démonstration Gratuite