Lorsque l'on parle de cybersécurité, la première image qui vient à l'esprit pour beaucoup est peut-être celle de l'antivirus sur l'ordinateur ou des chaînes de spam dans l'email. Au fur et à mesure que le marché de la technologie a évolué et que les solutions ICT sont devenues transversales et stratégiques, la sécurité nécessaire est devenue l'un des points les plus importants pour les organisations et pour les utilisateurs eux-mêmes.
L'augmentation de la numérisation a été synonyme de commodité pour les utilisateurs, mais elle a également représenté un défi important pour les organisations. Avec un monde où les données deviennent le nouveau pétroleLà où les clouds privés et publics deviennent incontournables, et où des modèles de travail à distance et hybrides sont également attendus, la localisation ou le périmètre ne sont plus une garantie de protection. Le grand défi consiste à savoir exactement comment protéger les données et l'infrastructure technologique des organisations sans sacrifier la commodité et les avantages, et sans compter sur le périmètre.
Dans ce contexte, le concept de Zero Trust – Zero Trust – est devenu extrêmement populaire. Bien que ce modèle existe depuis plusieurs années, la pandémie a accéléré la Transformation Digitale des organisations et accru les risques et menaces de sécurité, c'est pourquoi les atouts du modèle Zero Trust ressortent aujourd'hui plus que jamais.
Pour aborder ce sujet en profondeur, en Impacto TIC nous organisons un Hangout avec le soutien de BeyondTrust avec des référents non seulement de l'industrie de la cybersécurité, mais aussi avec des porte-parole informatiques de premier plan du secteur des affaires colombien qui ont trouvé de la valeur dans ce modèle.
Polyvalence et agilité
L'un des éléments les plus frappants de Zero Trust est peut-être qu'il se concentre clairement sur la polyvalence des systèmes existants. D'après Fernando Fontão, Channel Account Manager de BeyondTrust, ce modèle n'est pas nouveau, mais a constamment évolué au fil des ans et à mesure que les besoins des clients changent. Aujourd'hui, dit Fontao, la seule réalité est que nous sommes arrivés à la fin du périmètre de sécurité traditionnel que nous connaissions. "Le seul périmètre est l'identité, et avec l'identité viennent des privilèges extrêmement importants", un point.
Chez Zero Trust, il n'y a pas de solution unique à tous les problèmes de cybersécurité d'une entreprise, il s'agit plutôt de créer un ensemble d'outils pour atteindre le meilleur équilibre entre la sécurité et l'expérience de l'utilisateur final. "L'enjeu réside dans la nécessité de protéger des environnements métiers désormais numériques, modernes, qui intègrent de plus en plus des clouds publics et privés, des applications SaaS et une infinité de technologies", a expliqué Kelly Quintero, responsable des ventes territoriales chez BeyondTrust.
Lorsque l'on parle de Zero Trust, une précision importante doit être apportée : il ne s'agit pas de mettre en œuvre un outil technologique, ni de fonctionner comme un package standard qui est mis en œuvre et déployé, et il ne permet pas non plus d'appuyer sur un bouton pour répondre à tous les besoins de cybersécurité d'une organisation. C'est pourquoi nous parlons de modèle de sécurité ou de méthodologie Zero Trust.
Par exemple, protéger ses employés distants des menaces externes peut être la chose la plus importante pour une entreprise, tandis que protéger ses clients finaux est la chose la plus importante pour une autre.
Ceci, par conséquent, signifie que les modèles Zero Trust représentent parfois un changement de paradigme majeur dans la façon dont la cybersécurité d'une organisation est gérée. Avec des environnements changeants, connectés et hybrides, le périmètre de sécurité d'antan a disparu, tout comme les technologies telles que les VPN (réseaux privés virtuels) et autres réseaux privés.
Plus qu'une technologie, un paradigme
Mario Botina Tovar, vice-président de l'infrastructure technologique de Banco Davivienda, a souligné que Zero Trust ne peut pas être compris simplement comme une "boîte" qui est installée et c'est tout, mais plutôt c'est un écosystème qui s'adapte aux besoins et aux risques de chaque entreprise. Pour Banco Davivienda, par exemple, cela s'est concrétisé par la nécessité de simplifier et d'unifier les processus.
Les VPN, si populaires au milieu de la pandémie, se sont avérés être une option inappropriée pour Davivienda, une entreprise de 20.000 XNUMX employés. En raison de ses besoins de sécurité, la banque avait des centaines de règles VPN, ce qui affecte non seulement le fonctionnement du système, mais également la productivité de ses employés distants.
Grâce à la mise en place d'un système d'accès à distance sécurisé, ces règles sont désormais des dizaines de profils plus simples et plus faciles à gérer. Selon lui, la base de tout est dans "Savoir où se trouvent les données, ce qui est important, et comment et pourquoi mes employés accèdent à ces informations."
Une grande partie de cette transformation est également venue de nouveaux modèles commerciaux. Pour Jorge Eduardo Pinzon, directeur des risques métiers et informationnels chez AFP Protection, l'évolution vers des structures hybrides a également fortement mis en évidence une évolution vers des structures métiers de plus en plus liquides et collaboratives.
Dans ce type de structure, une stratégie de cybersécurité ne peut pas se baser uniquement sur les rôles de chaque collaborateur, mais aussi sur les environnements et les besoins quotidiens.
« C'est un ensemble de paradigmes en constante évolution. Ce n'est pas quelque chose de fixe, ce n'est pas quelque chose de statique.
Fernando Fontao, gestionnaire de compte de canal chez BeyondTrust.
« Le thème Zero Trust doit être étendu non seulement aux employés à domicile, mais aussi aux tiers et aux fabricants. Nous devons tous entrer dans la philosophie d'être protégés.
Mario Botina Tovar, vice-président de l'infrastructure technologique de Banco Davivienda.
« La philosophie est la même. Garantir la cybersécurité, améliorer l'agilité au sein de l'entreprise et réduire les coûts ».
Jaime Barreto, responsable de la sécurité informatique chez Summa SCI.
« Vous ne partez pas de zéro. Ce qu'il faut faire, c'est adapter ce qui a déjà été mis en place à ce nouveau schéma Zero Trust ».
Jorge Eduardo Pinzón, directeur des risques commerciaux et de l'information sur la protection.
Les nouvelles structures liquides
Pinzón explique que, compte tenu des facilités offertes par des technologies telles que le cloud et la numérisation, les rôles au sein des mêmes entreprises sont également devenus plus dynamiques. L'idée de modèles comme Zero Trust est de permettre à ces environnements collaboratifs de continuer à être possibles dans des environnements hybrides, mais sans sacrifier la sécurité des données des employés et de l'entreprise. "On n'est plus d'une fonction pyramidale", a remarqué.
pour les Jaime Barrett, leader de la sécurité informatique de Summa SCI, toute cette recherche de flexibilité, de dynamisme et d'agilité est née de la recherche de fournisseurs de sécurité pour devenir des catalyseurs technologiques. La mise en œuvre de services de cybersécurité lourds et compliqués n'est pas une méthode efficace pour attirer davantage d'entreprises dans la nouvelle ère de la cybersécurité.
Comme de nombreuses autres industries, la cybersécurité est devenue une nécessité quotidienne pour les utilisateurs et les entreprises, et Barreto affirme que l'important est d'améliorer le langage et la communication de ces nouveaux modèles pour mieux faire comprendre les technologies du futur.
Image principale: Lewis Kang'ethe Ngugi (Unsplash)
