Catégories
InfoSec

Zero trust architecture : la NSA sort ses recommendations

Les architectures dites « zero trust » ont clairement le vent en poupe de nos jours, surtout depuis que les attaques informatique deviennent rapides, brutales et faciles. Toutes les agences nationales de sécurité des systèmes d’informations de chaque pays ont des guides à vous proposer, la NSA aussi !


La NSA a mis à disposition quelques lignes pour vous aider à comprendre qu’est-ce que ce type de sécurité, à l’aide de mots-clés et de recommandations « simples ». Vous trouverez le document à cette adresse : https://us-cert.cisa.gov/ncas/current-activity/2021/02/26/nsa-releases-guidance-zero-trust-security-model

Zero trust architecture – kézako ?

Vos (A/R)SSI sont forcément au courant de cette dénomination qu’on appelle « zero trust architecture ». Il s’agit d’un ensemble de mécanisme de défense, d’analyse, de restrictions et de bonnes pratiques (hygiène) informatique.

Comme son nom l’indique, ce sont des systèmes d’informations où vous ne faites pas confiance ni aux utilisateurs, ni aux administrateurs, ni même aux logiciels et matériels. C’est un peu paradoxal puisqu’il y a besoin des machines et des humains, mais des restrictions sont de mise.

L’intérêt de ce genre d’infrastructure, c’est d’être conscient des risques de l’environnement à l’intérieur et à l’extérieur, en plus d’avoir les outils nécessaires pour savoir « quand, quoi, qui, pourquoi ». Sans oublier qu’une revue des documentations, des options de sécurité et de bien d’autres joyeusetés sont de mise.

De plus, l’idée est de vérifier tout ce qui est fait sur l’infrastructure, pas vraiment pour savoir si le travail est fait, plutôt de savoir comment, pour déceler un problème et donc une faille potentielle. Il s’agit là d’avoir un nouvel état d’esprit sur les risques et sa gestion pour un travail d’équipe en commun avec les équipes de sécurité et de gouvernance.


Apprenez à vos padawans les bons réflexes dès maintenant, informez-vous quant aux grosses attaques (Solarwinds la dernière en date), puis adaptez par étape vos SI, pour finalement atteindre une architecture zero trust avec des coûts maîtrisés et un effort humain/matériel raisonnable.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *