Adopter la confiance zéro : une stratégie pour une transformation métier sécurisée et agile - AWS Conseils prescriptifs
Processus de prise de décision

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Adopter la confiance zéro : une stratégie pour une transformation métier sécurisée et agile

Greg Gooden, Amazon Web Services (AWS)

Décembre 2023 (historique du document)

Aujourd’hui, plus que jamais, les entreprises placent la sécurité au centre de leurs priorités. Cela leur permet de bénéficier d’un large éventail d’avantages, tels que le maintien de la confiance de leurs clients, l’amélioration de la mobilité de leur main-d’œuvre ou la création d’opportunités commerciales numériques. Ce faisant, ils continuent de se poser la même question : quels sont les modèles optimaux pour garantir les niveaux de sécurité et de disponibilité adéquats pour mes systèmes et mes données ? Le terme Confiance zéro est de plus en plus utilisé pour décrire la réponse moderne à cette question.

L’architecture confiance zéro (ZTA) est un modèle conceptuel et un ensemble de mécanismes associés qui visent à fournir des contrôles de sécurité autour des ressources numériques qui ne dépendent pas uniquement ou fondamentalement des contrôles réseau traditionnels ou de l’environnement du réseau. Au lieu de cela, les contrôles réseau sont complétés par l’identité, l’appareil, le comportement et d’autres contextes et signaux riches afin de prendre des décisions d’accès plus précises, intelligentes, adaptatives et continues. En implémentant un modèle de ZTA, vous pouvez réaliser une prochaine itération significative dans une évolution continue de la cybersécurité et des concepts de défense en profondeur en particulier.

Processus de prise de décision

La mise en œuvre d’une stratégie ZTA nécessite une planification et une prise de décision minutieuses. Il s’agit d’évaluer divers facteurs et de les aligner sur les objectifs organisationnels. Les principaux processus de prise de décision pour entreprendre le parcours vers la ZTA sont les suivants :

  1. Engagement des parties prenantes : il est essentiel d’impliquer d’autres CxO, VP et senior managers afin de comprendre leurs priorités, leurs préoccupations et leur vision du niveau de sécurité de votre organisation. En impliquant les principales parties prenantes dès le départ, vous pouvez aligner l’implémentation de la ZTA sur les objectifs stratégiques globaux et obtenir le soutien et les ressources nécessaires.

  2. Évaluation des risques : la réalisation d’une évaluation complète des risques permet d’identifier les problèmes, la surface excessive et les ressources critiques afin de prendre des décisions éclairées en matière de contrôles de sécurité et d’investissement. Évaluez le niveau de sécurité actuel de votre organisation, identifiez les faiblesses potentielles et priorisez les domaines à améliorer en fonction du contexte des risques propre à votre secteur d’activité et à votre environnement opérationnel.

  3. Évaluation de la technologie : l’évaluation du paysage technologique existant de l’organisation et l’identification des lacunes permettent de sélectionner des outils et des solutions appropriés conformes aux principes de la ZTA. Cette évaluation doit inclure une analyse approfondie des éléments suivants :

    • Architecture réseau

    • Systèmes de gestion des identités et des accès

    • Mécanismes d’authentification et d’autorisation

    • Gestion unifiée des points de terminaison

    • Outils et processus de propriété des ressources

    • Technologies de chiffrement

    • Fonctionnalités de surveillance et de journalisation

    • Le choix de la bonne pile technologique est crucial pour créer un modèle de ZTA robuste.

  4. Gestion du changement : il est essentiel de reconnaître les impacts culturels et organisationnels liés à l’adoption d’un modèle de ZTA. La mise en œuvre de pratiques de gestion du changement contribue à garantir une transition et une acceptation harmonieuses à travers l’organisation. Cela implique de sensibiliser les employés aux principes et aux avantages de la ZTA, de dispenser une formation sur les nouvelles pratiques de sécurité et de promouvoir une culture soucieuse de la sécurité qui encourage la responsabilité et l’apprentissage continu.

Ces directives prescriptives visent à fournir aux CxO, aux VP et aux senior managers une stratégie complète pour l’implémentation de la ZTA. Elles couvriront les principaux aspects de la ZTA, dont les suivants :

  • État de préparation organisationnelle

  • Approches d’adoption progressive

  • Collaboration des parties prenantes

  • Bonnes pratiques pour réaliser une transformation métier sûre et agile

En suivant ces conseils, votre organisation peut se frayer un chemin dans le paysage de la ZTA et réussir sa transition vers la sécurité dans le Cloud Amazon Web Services (AWS). AWS propose une variété de services que vous pouvez utiliser pour implémenter une ZTA, tels que Accès vérifié par AWS, AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (Amazon VPC), Amazon VPC Lattice, Amazon Verified Permissions, Amazon API Gateway et Amazon GuardDuty. Ces services peuvent contribuer à protéger les ressources AWS contre tout accès non autorisé.