Le NIST détaille 19 architectures Zero Trust concrètes

Le NIST publie un guide pratique avec 19 exemples d’architectures Zero Trust, offrant des modèles concrets pour sécuriser les réseaux d’entreprise modernes.

L’approche traditionnelle de la cybersécurité, fondée sur la protection d’un périmètre réseau, montre ses limites face à la complexité des infrastructures modernes. La généralisation du télétravail, l’adoption de services cloud et la multiplication des appareils connectés rendent l’idée d’une frontière unique et défendable de plus en plus obsolète. Cette réalité impose une transition vers un nouveau paradigme : le Zero Trust.

Ce modèle part d’un postulat radical : aucune confiance implicite n’est accordée à un utilisateur ou à un appareil, quelle que soit sa localisation ou son appartenance au réseau interne. Chaque demande d’accès est traitée comme une menace potentielle et doit être rigoureusement vérifiée. Cet article explore les fondements de l’architecture Zero Trust (ZTA) et se penche sur les nouvelles directives du National Institute of Standards and Technology (NIST), qui propose des implémentations pratiques pour aider les organisations à franchir ce cap décisif.

Du périmètre à la confiance zéro : une redéfinition des fondements

Le passage à une architecture Zero Trust représente un changement fondamental, s’éloignant d’un modèle où la confiance est accordée une fois la barrière du pare-feu franchie. Dans un environnement ZTA, la sécurité n’est plus concentrée sur les points d’entrée du réseau, mais se déplace au plus près des ressources elles-mêmes.

Cette philosophie repose sur un ensemble de principes stricts qui visent à minimiser les risques et à limiter la capacité d’un attaquant à se déplacer latéralement au sein du système. Comme le formalise la publication de référence Zero Trust Architecture (NIST SP 800-207), le principe de base est que la localisation réseau, qu’elle soit interne ou externe, ne constitue plus un gage de confiance. L’architecture est conçue pour protéger les ressources (données, services, applications) plutôt que les segments réseau.

Passez au Zero Trust Network dès maintenant !

Le Zero Trust Network est devenu l’un des mots à la mode les plus utilisés en matière de cybersécurité. Il est impératif de comprendre ce qu’est la confiance zéro pour le réseau d’entreprise et ce que cela implique sur l’évolution du système d’information.

📘 Voir sur Amazon

🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏

L’accès aux ressources de l’entreprise est accordé session par session, et une authentification préalable à une ressource n’autorise pas automatiquement l’accès à une autre. La décision d’accorder cet accès repose sur une politique dynamique qui prend en compte de multiples facteurs : l’identité du demandeur, l’état de sécurité de l’appareil utilisé, la localisation, l’heure de la demande et d’autres attributs comportementaux ou environnementaux.

L’intégrité et la posture de sécurité de tous les actifs, qu’ils soient possédés par l’entreprise ou associés à celle-ci, sont surveillées en permanence. Un appareil présentant des vulnérabilités connues ou n’étant pas correctement géré peut se voir refuser toute connexion. Enfin, l’authentification et l’autorisation sont dynamiques et rigoureusement appliquées avant chaque accès, dans un cycle continu d’évaluation. L’entreprise doit collecter un maximum d’informations sur l’état des actifs et des communications pour affiner en permanence sa posture de sécurité.

Le guide NIST SP 1800-35 : 19 implémentations pour passer à l’action

Si le concept du Zero Trust est bien défini, sa mise en œuvre pratique peut s’avérer complexe. Pour répondre à ce défi, le NIST, via son National Cybersecurity Center of Excellence (NCCoE), a publié un guide pratique intitulé Implementing a Zero Trust Architecture (NIST SP 1800-35). Fruit de quatre années de travail en collaboration avec 24 partenaires industriels, dont des géants de la technologie, ce document se veut un manuel d’application. Alper Kerman, informaticien au NIST et co-auteur de la publication, souligne que « passer de la protection traditionnelle au Zero Trust nécessite de nombreux changements. Il faut comprendre qui accède à quelles ressources et pourquoi ».

Le guide propose 19 exemples d’implémentations d’architectures Zero Trust, toutes construites à l’aide de technologies commerciales disponibles sur le marché. Comme le détaille le NIST dans son article annonçant cette publication, l’objectif est de fournir des points de départ précieux aux organisations pour construire leurs propres architectures sur mesure. Ces exemples couvrent des scénarios réels et complexes, simulant des environnements d’entreprise modernes avec des plateformes multi-cloud, des succursales et des employés se connectant depuis des points d’accès Wi-Fi publics comme des cafés.

Une analyse partagée par le site Cyber Security News dans un article dédié, qui met en avant la valeur pratique de ces plans directeurs pour les professionnels cherchant à renforcer leurs défenses. Les solutions documentées s’appuient sur différentes approches architecturales, telles que la micro-segmentation, qui consiste à isoler les charges de travail dans des zones sécurisées, le SDP (Software Defined Perimeter), qui rend l’infrastructure invisible aux utilisateurs non autorisés, ou encore le SASE (Secure Access Service Edge), qui fusionne les services réseau et de sécurité dans le cloud. Les exemples concrets mentionnent des technologies de fournisseurs comme Okta, Zscaler, Microsoft (Azure AD / Entra), Palo Alto Networks, IBM ou encore AWS, montrant comment leurs produits peuvent être orchestrés pour construire une politique Zero Trust cohérente.

Cette nouvelle publication du NIST marque une étape en faisant le pont entre la théorie conceptuelle du Zero Trust et son application concrète. En documentant des architectures testées et en s’appuyant sur des technologies existantes, elle offre une feuille de route tangible pour les organisations. Le défi n’est plus seulement de comprendre les principes du Zero Trust, mais de disposer des outils pour les mettre en œuvre de manière efficace et rigoureuse, en réponse directe à la complexité et aux menaces des écosystèmes numériques actuels.