Voici un scénario qui était improbable il y a encore deux ans : travailler à distance de manière permanente à partir de Honolulu pour emploi dans le secteur de la finance basé à Wall Street. Aujourd'hui, le monde a accepté que la productivité soit tout aussi possible depuis la plage que depuis un gratte-ciel. En effet, selon Upwork, près de 5 millions de personnes aux États-Unis ont déménagé à cause du travail à distance depuis 2020, et 19 autres millions prévoient de le faire.
Avant la pandémie, il était relativement simple de créer des politiques d'accès car les emplacements de vos utilisateurs étaient généralement fixes. Par exemple, disons que tout le monde est censé travailler à partir de votre bureau de New York et qu'une demande de connexion vous parvient d'un café à Hawaï. La décision est facile à prendre : il suffit de refuser l'accès.
Cependant, le travail à distance et le travail hybride devenant la norme, vos utilisateurs peuvent se trouver n'importe où et une telle politique nuirait à leur productivité. D'où la question suivante : les périmètres des bureaux n'étant plus pertinents, comment protéger vos données tout en soutenant vos employés qui travaillent depuis n'importe où ?
J'ai récemment invité Ashish Kathapurkar et Nikhil Sinha de Google à participer à notre émission Security Soapbox Podcast pour discuter de la manière dont cet environnement de travail décentralisé amène les équipes de sécurité à repenser la façon dont elles protègent leurs organisations. Pour vous donner un aperçu, voici quelques éléments à retenir de notre conversation.
Zero Trust : en qui ou en quoi avons-nous confiance ?
De nombreuses organisations réalisent que la sécurité doit s'adapter pour soutenir les initiatives de travail à distance. La question qui se pose alors est la suivante : comment ?
Il est facile d'adhérer à un cadre populaire tel que Zero Trust, selon lequel aucune entité ne devrait se voir accorder un accès tant que son niveau de risque n'a pas été vérifié et accepté, mais il n'existe pas de feuille de route claire sur la manière d'y parvenir.
Le National Institute of Standards and Technology (NIST) définit le Zero Trust comme l'ensemble évolutif de paradigmes qui font passer la cybersécurité de paramètres statiques, basés sur le réseau, à une focalisation sur les utilisateurs, les actifs et les ressources. En d'autres termes, pour évaluer correctement les risques, vous devez suivre non seulement l'utilisateur et ses terminaux, mais aussi l'emplacement et les réseaux utilisés, ainsi que les données et les applications auxquelles il cherche à accéder.
La sécurité doit être un effort d'équipe : le modèle de responsabilité partagée
Dans un environnement distant ou hybride, il est presque impossible d'anticiper les incidents de sécurité à venir. Le Zero Trust offre une solution élaborée pour résoudre ce dilemme en partant du principe qu'aucune entité n'est digne de confiance.
Pour mettre pleinement en œuvre ce cadre, Ashish et Nikhil s'accordent à dire qu'il faut aller au-delà de l'identifiant et des informations d'identification d'un utilisateur pour analyser un large éventail de données contextuelles. Pour rassembler la grande quantité de données télémétriques nécessaires à cette analyse approfondie, les organisations ne peuvent pas se contenter des données du seul fournisseur cloud .
Cela crée un modèle de "responsabilité partagée", dans lequel, par exemple, votre solution de sécurité mobile fournit un contexte permettant de savoir si le mobile terminalest compromis ou connecté à un réseau à risque. Vous pouvez également disposer d'un CASB (Cloud Access Security Broker) qui examine le comportement de l'utilisateur final ou les types de données manipulées.
Adopter une approche plus globale de la sécurité
Vos employés accèdent aux applications cloud à partir d'à peu près n'importe quel appareil pour rester productifs, et vos anciens outils basés sur le réseau ne peuvent pas fournir la visibilité et le contrôle dont vous avez besoin pour protéger les données de l'entreprise.
Que vous construisiez votre empreinte sur site, en cloud ou sur une architecture hybride, la sécurité doit être un effort convergent, où l'application cloud fonctionne en parallèle avec d'autres solutions. Pour réaliser une stratégie Zero Trust, vous avez besoin de la télémétrie de toutes vos applications, de tous vos utilisateurs et de tous vos terminaux, afin que les décisions d'accès protègent vos données tout en favorisant la productivité.
Je vous recommande vivement de consulter le reste de l'épisode du podcast pour une discussion plus approfondie avec nos partenaires Google. Vous pouvez également consulter notre page de partenariat avec Google pour en savoir plus sur la manière dont nos deux entreprises collaborent sur cette question importante.