Sécurité

Démarche Zéro Trust de Microsoft – Explications et définition

Posted by

La démarche “Zéro Trust” de Microsoft est une stratégie de sécurité informatique qui vise à protéger les données de l’entreprise en ne faisant confiance à aucun utilisateur ou dispositif, quel que soit son emplacement.

Contrairement aux modèles de sécurité traditionnels qui se concentrent sur la protection du réseau et de ses périphériques, la démarche Zéro Trust considère que chaque utilisateur et chaque dispositif doit être vérifié avant d’être autorisé à accéder aux ressources de l’entreprise.

Voici quelques étapes clés pour mettre en place une démarche Zéro Trust :

  1. Identifier les ressources critiques : Il est important de commencer par identifier les ressources de l’entreprise qui sont les plus critiques et qui doivent être protégées en priorité. Il peut s’agir de données confidentielles, de propriété intellectuelle ou d’autres informations sensibles.
  2. Vérifier chaque utilisateur et chaque dispositif : Une fois que les ressources critiques ont été identifiées, il est important de vérifier chaque utilisateur et chaque dispositif qui accède à ces ressources. Cela peut se faire en utilisant des solutions d’authentification multi facteurs, des certificats numériques ou des solutions d’analyse comportementale pour identifier les activités suspectes.
  3. Contrôler l’accès aux ressources : Une fois que les utilisateurs et les dispositifs ont été vérifiés, il est important de contrôler l’accès aux ressources en fonction des autorisations accordées à chaque utilisateur. Il est également important de surveiller en permanence l’activité des utilisateurs pour détecter toute activité suspecte.
  4. Sécuriser les données en transit : Les données qui transitent entre les utilisateurs et les ressources de l’entreprise doivent être chiffrées pour éviter toute interception ou modification non autorisée.
  5. Mettre en place une stratégie de gestion des identités et des accès : Pour maintenir une approche Zéro Trust, il est important de mettre en place une stratégie de gestion des identités et des accès qui permet de gérer les utilisateurs et les dispositifs en fonction de leur niveau d’autorisation.
  6. Former les utilisateurs : Enfin, il est important de former les utilisateurs sur les bonnes pratiques de sécurité informatique, comme l’utilisation de mots de passe forts, l’identification des tentatives de phishing et la gestion de leurs informations d’identification.

L’approche globale Zéro Trust doit s’étendre à l’ensemble de votre empreinte numérique dans l’entreprise, y compris les identités, les points de terminaison, le réseau, les données, les applications et l’infrastructure. L’architecture Zéro Trust offre une stratégie complète de bout en bout, qui nécessite une intégration entre les différents éléments.
Les identités constituent le fondement du Zéro Trust. Humaines ou non, elles ont besoin d’une authentification forte lorsqu’elles se connectent à partir de points de terminaison personnels ou d’entreprise via des appareils compatibles, en sollicitant l’accès sur la base de stratégies fondées sur les principes du Zéro Trust (vérification explicite, droit d’accès minimal et violation présumée par défaut).

Le schéma ci-dessous présente les différents contrôles à prendre en compte et mettre en place sur l’ensemble des éléments à sécuriser dans l’entreprise :

Certaines fonctionnalités techniques proposées par Microsoft permettent de mettre en place la démarche Zéro Trust. On citera par exemple :

  • Azure MFA pour la sécurisation des comptes Cloud et synchronisés
  • Les règles d’accès conditionnel dans Azure pour sécuriser l’accès aux ressources de l’entreprise
  • Microsoft Intune pour sécuriser les postes et machines d’une entreprise.

En résumé, la démarche Zéro Trust de Microsoft est une stratégie de sécurité informatique qui vise à protéger les données de l’entreprise en ne faisant confiance à aucun utilisateur ou dispositif. Pour la mettre en place, il est important d’identifier les ressources critiques, de vérifier chaque utilisateur et chaque dispositif, de contrôler l’accès aux ressources, de sécuriser les données en transit, de mettre en place une stratégie de gestion des identités et des accès, et de former les utilisateurs sur les bonnes pratiques de sécurité informatique.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.