Embauché il y a 2 ans pour digitaliser les process, Alexandre Aubry raconte tous les changements que cela a induit : transformation de l'organisation, de l'infrastructure matérielle et réseau, ouverture et décommissionnement progressif de l'ERP Cobol...
Nous avons assisté à la conférence client de l'entreprise Orange à Agile en Seine. Cet article vous propose de découvrir comment l'IA Gen devient déjà un atout incontournable chez certains clients.
Un bon mix d'indicateurs - des KPI classiques ainsi que des KPI personnalisés - devrait vous aider, à condition de respecter un principe essentiel : faites simple !
Réinventer la sécurité informatique : comprendre et mettre en œuvre l'architecture Zéro Confiance
Face aux nouveaux défis de la sécurité des réseaux et des systèmes distribués, les pratiques doivent être renforcées. L'approche zero-trust a pour ambition de poser les principes permettant de s'assurer d'une prise en compte adéquate de ces enjeux par les équipes de développement à la source.
Les anciens réflexes de confiance aveugle envers les acteurs internes et de méfiance instinctive envers les acteurs externes dans les réseaux informatiques sont aujourd'hui dépassés du fait de l'expansion des systèmes d'information et, dans certains secteurs, de leurs relations intriquées. Ils doivent laisser la place à une approche encore considérée comme révolutionnaire : l'Architecture Zéro Confiance, ou "Zero Trust Architecture".
Repenser la confiance informatique
Cette approche se veut radicalement différente des modèles traditionnels de sécurité. En son cœur se trouve un principe simple mais puissant : n'avoir aucune confiance par défaut. Autrement dit, ni les utilisateurs, ni les appareils, ni les applications ne peuvent être considérés comme dignes de confiance sans une vérification appropriée.
Plusieurs principes fondamentaux soutiennent cette philosophie. D'une part, la vérification stricte de l'identité en constitue le point de départ obligatoire. Peu importe si un utilisateur ou un dispositif se trouvent à l'intérieur ou à l'extérieur du réseau, leur identité doit être rigoureusement confirmée avant de leur accorder l'accès à des ressources sensibles.
D'autre part, un autre principe clé est celui du "moindre privilège". Plutôt que d'attribuer des droits d'accès étendus, l'approche Zéro Confiance préconise d'accorder aux utilisateurs et aux systèmes uniquement les privilèges strictement nécessaires pour effectuer leurs tâches spécifiques. Cette limitation visant à réduire, bien évidemment, la surface d'attaque potentielle.
Parallèlement, l'authentification multi-facteurs (MFA) renforce la sécurité en exigeant plusieurs méthodes d'authentification pour valider l'identité d'un utilisateur, rendant ainsi les comptes moins vulnérables aux attaques par mot de passe. De plus, le chiffrement des données - en transit ou au repos - assure la confidentialité des informations, même en cas d'interception.
Procéder à une segmentation et micro-segmentation
La segmentation du réseau est également un pilier crucial de l'Architecture Zéro Confiance. Plutôt que d'avoir un réseau plat, où toutes les ressources sont accessibles uniformément, la segmentation divise le réseau en zones distinctes. Cette séparation permet d'isoler les ressources sensibles et d'éviter la propagation rapide des attaques. Chaque zone est ainsi qualifiée selon sa propre sensibilité.
Allant encore plus loin, la micro-segmentation est une extension de ce principe. Elle consiste à imposer des restrictions strictes même au sein d'une même zone. Ainsi, même si un attaquant parvient à pénétrer une zone spécifique, ses mouvements sont fortement limités, réduisant ainsi les dégâts potentiels.
La surveillance continue des activités et des comportements des utilisateurs, des appareils et des applications, doit permettre de détecter rapidement toute activité anormale ou suspecte, et ainsi d'offrir une réponse proactive aux menaces potentielles. Des politiques d'accès strictes, quant à elles, sont capables de prendre en compte des facteurs contextuels tels que l'heure, ou encore la géolocalisation et l'état d'un appareil, pour évaluer l'opportunité d'autoriser l'accès ou non.
Mettre en œuvre l'architecture Zéro Confiance
La mise en pratique de l'architecture Zéro Confiance exige un changement d'état d'esprit et des mesures concrètes. Comme on l'a dit, l'authentification forte, qui s'appuie sur plusieurs facteurs pour valider une identité, est au cœur de cette démarche. Au-delà, les contrôles d'accès adaptatifs analysent les contextes pour déterminer l'autorisation. Autrement dit, il n'est donc pas suffisant d'avoir été invité dans la maison, encore faut-il se présenter au bon moment et se comporter correctement.
L'attribution des privilèges d'accès est régulièrement (ré)évaluée en fonction des besoins réels des utilisateurs et des systèmes. C'est particulièrement important dans les contextes où les utilisateurs sont susceptibles de changer (turnover) ou leurs fonctions d'évoluer sensiblement par la mobilité de leur carrière.
C'est le CISO (Chief Information Security Officer) de l'organisation qui doit coordonner les efforts de formation et de mise en œuvre des politiques de cybersécurité. Ses équipes diffusent ces politiques par la diffusion de lettres d'information ou dans les manuels remis aux employés, par exemple sur le site intranet ou via des sessions de cours internes. Elles doivent également veiller à ce que des tests de pénétration et d'évaluation de la sécurité soient régulièrement effectués, pour identifier et corriger les vulnérabilités potentielles.