Stratégie Zéro Trust et cybersécurité : une approche gagnante

La cybersécurité fait désormais partie intégrante des politiques de gouvernance de nombreuses entreprises. L’année 2021 s’est dressée comme celle de la sécurité informatique, les cybermenaces ayant particulièrement augmenté dans le cadre de la pandémie. Ce contexte a encouragé le déploiement de stratégies de sécurité informatique sans concession. C’est notamment le cas de l’architecture Zéro Trust, qui gagne de plus en plus de terrain auprès des Directions des Systèmes Informatiques (DSI).

Qu’est-ce qu’une stratégie Zéro Trust ?

En cybersécurité, une stratégie Zéro Trust, ou “Zéro confiance” en français, consiste, pour une entreprise, à partir du principe qu’aucun élément du système informatique n’est fiable. Utilisateurs, applications, logiciels, prestataires : rien ni personne n’a a priori la « confiance implicite” de la société. Cette architecture a été inventée par John Kindervag quand il travaillait pour Forrester Research.

Le modèle de cybersécurité dit de “Zéro Confiance” implique ainsi une authentification et une vérification permanente des personnes et des terminaux sur ou aux portes du réseau informatique. On dit dans ce cas que la confiance s’accorde à partir d’un “contexte”. C’est par exemple le fait que l’utilisateur se soit strictement identifié et authentifié qui fait que la confiance lui est accordée.

L’architecture Zéro Trust conditionne donc la « confiance » de l’entreprise tout au long d’une série d’étapes. Ces étapes se traduisent généralement par une succession de contrôles : identité de l’utilisateur, emplacement, appareil, données souhaitées.

Techniquement, à quoi ressemble une architecture “zéro confiance” ?

D’un point de vue technique, l’ANSSI précise qu’un cadre Zéro Trust réclame des :

• Contrôles de l’ensemble du trafic entrant sur le réseau informatique, y compris du trafic chiffré ;
• Contrôles des identités des utilisateurs ;
• Cloisonnements et une granularisation des ressources ;
• Moyens de détection renforcés des cybermenaces ;
• Méthodes d’authentification multi- facteur, ou MFA ;
• Connexions aux réseaux ciblées, réduites au strict nécessaire pour l’utilisateur.

Pour un environnement en cloud, les technologies Zéro Confiance présentent l’avantage de réduire l’impact et la gravité des cyberattaques. Tout utilisateur qui parvient à forcer sa voie jusqu’à certaines données n’accède en fait qu’à une petite partie de l’ensemble du réseau.

Cette architecture permet donc aussi d’assurer une conformité légale aux réglementations relatives à la confidentialité des données, comme le Règlement Général pour la Protection des Données Personnelles (RGPD).

Comment Diligent vous permet d’adopter un framework Zéro Trust dans votre entreprise

Le logiciel de gouvernance de Diligent se concentre sur les éléments de votre système informatique dont la cybersécurité est non-négociable. La solution protège les “surfaces” informatiques stratégiques potentiellement attaquables par les cyberpirates. En ce sens, elle incarne un véritable “système de management de la sécurité des informations” (SMSI), conforme aux législations.

Sécuriser vos usages numériques quotidiens

L’application Diligent sécurise certaines applications, comme les messageries instantanées, en les remplaçant par des modèles plus solides, mais tout aussi intuitifs. C’est par exemple le cas de Diligent Messenger, qui fonctionne comme un WhatsApp professionnalisé et sécurisé.

Nous protégeons aussi les données personnelles des utilisateurs, ainsi que vos informations financières. Tous vos actifs sont concernés, même les équipements de votre conseil d’administration. Avec Diligent Messenger, par exemple, si un membre du conseil perd son smartphone ou sa tablette, elle ou il peut bloquer les données de l’appareil à distance.

Clés de chiffrement côté client pour des données inviolables

Notre application des principes Zéro Trust se lit aussi à travers notre façon d’organiser les flux de données au sein de notre solution. Les transferts de données se font dans des espaces clos, soumis à des systèmes d’authentification granulaires.

Nous proposons également des solutions de chiffrement des données sur demande. Dans ce cas, vous sécurisez vos données avec des “clés de chiffrement côté clients”. Il s’agit de module de sécurité matérielle inviolable, certifié FIPS 140-2 L3. Ces modules chiffrent les données lors de leurs stockages et transferts. Vous seuls pouvez y accéder, à l’aide d’une phrase secrète que vous avez définie.

L’avantage principal de cette clé de chiffrement consiste à créer un facteur d’authentification impossible à pirater. Cet outil permet de pousser le cadre Zéro Confiance à l’extrême, pour annuler tout risque de pertes de données. Vous vous prémunissez également ainsi des vols d’actifs sensibles ou de l’espionnage de données confidentielles.

Une solution certifiée ISO 27001 et TRUSTe Privacy Shield

Les stratégies Zéro Trust consistent, entre autres, à sécuriser vos données et vos actifs. En la matière, Diligent a obtenu la certification ISO/IEC 27001. Notre logiciel a donc toutes les fonctionnalités nécessaires pour protéger les informations sensibles.

Diligent s’appuie sur plusieurs techniques permettant de sécuriser votre réseau informatique en respectant les critères de cette certification :

• Mots de passe complexifiés ;
• Protection individuelle de chaque terminal ;
• Intégration de filigranes ;
• Amélioration continue des process ;
• Personnalisation des mesures de sécurité.

Notre logiciel se soumet en outre régulièrement à des tests d’intrusion, aussi bien internes qu’externes. Nous invitons par ailleurs nos auditeurs, mais aussi nos clients et prospects à effectuer des tests de pénétration sur nos infrastructures informatiques.

Pour notre part, nous réalisons des audits annuels de conformité aux dernières législations de cybersécurité : SSAE 18 SOC 1 Type 2, SSAE 18 SOC 2 Type 2 et HIPAA/HITECH AT-101, Nous menons également des tests de vulnérabilité et d’intrusion de nos applications plusieurs fois par an.