Temps de lecture : 7 minutes L’objectif de cet article est de vous présenter le questionnaire de maturité « Zero Trust. » Ce questionnaire va vous permettre d’évaluer le niveau de maturité de votre organisation sur ce sujet. Ce questionnaire est un fichier Excel que vous pouvez télécharger gratuitement : cliquez ici pour accéder au questionnaire en choisissant la langue (français ou anglais). Avant de décrire son utilisation, il est important de rappeler ce qu’est le modèle de sécurité Zero Trust et comment démarrer un projet Zero Trust, afin de saisir l’intérêt de l’adopter pour renforcer la sécurité tout en autorisant de nouveaux scénarios comme le télétravail.
Sommaire :
- Zero Trust, nouveau modèle de sécurité
- Comment implémenter un projet Zero Trust ?
- Pourquoi un questionnaire de maturité Zero Trust ?
- Utilisation du questionnaire
- Conseils et astuces
- Et ensuite ?
Zero Trust, nouveau modèle de sécurité
Qu’est-ce que le Zero Trust ?
Le modèle périmétrique de sécurité, qui a prévalu depuis l’ouverture des organisations à Internet, est basé sur la construction d’une frontière entre le réseau d’entreprise et l’extérieur. Il part du postulat qu’en isolant l’entreprise, on peut garantir la sécurité de tout ce qui est situé à l’intérieur.
Mais les temps ont changé et les organisations doivent désormais faire face à de nouvelles mutations, telles que le Cloud, la mobilité et le travail à distance. De plus, les menaces informatiques ont évolué et les attaques se sont complexifiées, rendant la protection des entreprises plus difficile.
L’approche du modèle Zero Trust
Le modèle Zero Trust prend en compte ces transformations pour édicter 3 grands principes :
- Vérifier explicitement : chaque connexion doit être authentifiée et autorisée en prenant en compte le contexte ; les connexions sont chiffrées de bout en bout.
- Principe du moindre privilège : l’accès est limité en attribuant les privilèges juste nécessaires et avec une limite de temps.
- Présupposer la compromission : la généralisation de la supervision permet d’obtenir une visibilité transversale, de détecter précocement les menaces et d’améliorer les défenses. Une détection des attaques au plus près et une segmentation réseau permettent de minimiser le rayon de déflagration en cas de compromission.
Ces principes s’appliquent sur 6 piliers qui servent à structurer l’approche et ensuite décliner par briques technologiques.
Pour plus d’informations, référez-vous au document synthétique Evolving Zero Trust.
Comment implémenter un projet Zero Trust ?
Avant de commencer un projet Zero Trust, il est nécessaire, comme pour tout projet, d’évaluer d’où l’on part pour ensuite définir la cible, avant de construire la transition qui nous y mènera depuis la situation actuelle.
À ce stade, les questions sont nombreuses : comment s’assurer d’être exhaustif dans l’approche ? Comment identifier les technologies pour la mise en œuvre du modèle Zero Trust ? Comment identifier les briques technologiques déjà déployées et savoir si on peut les réutiliser, les faire évoluer ou les remplacer ? Comment identifier les manques dans l’arsenal – souvent pléthorique – de solutions de sécurité ou de procédures déjà en place ? Faut-il commencer par la sécurité réseau ou par renforcer la gestion des identités ? Quels sont les sujets à prioriser ? etc.
Le livre blanc Initier un projet de transformation Zero Trust (en français et anglais) propose d’enchaîner les étapes consistant à comprendre les principes Zero Trust, définir ce que l’on attend de son projet Zero Trust en affectant des priorités, puis identifier les briques technologiques qui pourront être utilisées pour réaliser son projet. Après ces premières étapes, la suivante consiste à mesurer son niveau de maturité Zero Trust et le questionnaire est l’outil que nous vous proposons d’utiliser pour vous aider dans cette analyse.
Le schéma ci-dessus met en évidence l’étape d’identification de son niveau de maturité dans la perspective de définition de votre projet Zero Trust.
Pourquoi un questionnaire de maturité Zero Trust ?
L’étape d’évaluation de son niveau de maturité est importante pour construire sa vision, se projeter et identifier les chantiers prioritaires, s’intégrer aux projets existants et finalement construire sa feuille de route vers une architecture de sécurité Zero Trust adaptée à son organisation.
L’objectif de ce questionnaire Zero Trust est double :
- Évaluer son existant en se posant de manière exhaustive des questions sur la manière dont la sécurité est actuellement implémentée sur l’ensemble des 6 piliers : Identité, Appareils, Données, Applications, Infrastructure et Réseau. L’exercice permet de faire un examen des différentes technologies déjà en place, de les répartir dans les piliers Zero Trust et d’identifier le niveau de maturité de l’organisation sur chacun de ces piliers. On doit réaliser l’exercice en toute honnêteté pour obtenir un statut objectif et réaliste, même si on découvre que l’on n‘est pas aussi avancé que prévu sur certains sujets. Cet exercice peut également être une opportunité pour identifier des disparités de couverture des solutions de sécurité sur les différents périmètres de votre organisation, et accélérer leur généralisation à l’ensemble des périmètres.
- Identifier ou découvrir les technologies permettant de décliner les principes de Zero Trust dans son environnement. Certaines solutions technologiques auront été déployées – par exemple un MDM pour la gestion des appareils mobiles –, d’autres envisagées mais encore en production – par exemple un EDR (Endpoint Detection & Response) –, d’autres totalement absentes et que l’on découvre dans l’exercice – par exemple, un SOAR (Security Orchestration, Automation and Response). Cet exercice est aussi une bonne opportunité pour revoir le périmètre de l’équipe en charge de l’exécution du service, ou de réévaluer ce service lorsqu’il est externalisé.
Lire aussi L’architecture Zero Trust pour assurer la sécurité du télétravail
À la suite de cette analyse guidée par le questionnaire, vous serez en mesure :
- De mesurer votre niveau de maturité Zero Trust sur chacun des 6 piliers ;
- D’envisager les types de solutions à déployer ou les processus à mettre en place pour atteindre le niveau de maturité attendu ;
- D’identifier les solutions déjà déployées pour lesquelles des décisions devront être prises pour les conserver, les étendre, les éliminer ou les laisser s’éteindre. Les critères suivants pourront rentrer en ligne de compte : les solutions sont obsolètes par manque de couverture (par exemple uniquement on-prem), du fait d’une technologie dépassée, par manque de fonctionnalités, ou plus simplement parce que leur intégration avec les nouvelles briques de sécurité risque d’être problématique, etc.
Ce questionnaire a été construit en s’appuyant sur différentes sources qui font référence, comme le guide Zero Trust Architecture SP800-207 du NIST (NIST National Institute of Standards and Technology) pour la formulation des principes et la description de l’ensemble des composants, le document Zero Trust Maturity Model de l’agence CISA (Cybersecurity & Infrastructure Security Agency) pour son approche. Les documentations Microsoft ont également été utilisées pour la description des briques technologiques comme le court document Zero Trust Maturity Model ou les informations disponibles depuis la page d’accueil Zero Trust de même que les articles techniques qui sont référencés dans les liens du questionnaire.
Utilisation du questionnaire
Vous disposez de 6 onglets numérotés chacun correspondant à un pilier Zero Trust. Chaque onglet contient une dizaine de questions pour lesquelles vous pouvez choisir la réponse dans une liste déroulante. La réponse peut être simplement Oui/Non, ou offrir une gradation par exemple Oui/Partiellement/Non ou être adaptée au contexte de la question.
La colonne « Plus d’informations » apporte des éléments supplémentaires pour vous permettre de qualifier votre réponse. Un lien (URL) est généralement indiqué pour approfondir.
Une colonne « Remarques » vous permet d’ajouter des informations de contexte supplémentaires concernant votre situation ou analyse, et une dernière colonne « Responsable » indiquera la personne qui prend en charge le sujet.
Au fur et à mesure de vos réponses, vous pouvez voir évoluer en bas de la page le Score en pourcentage.
Après avoir répondu aux questions des 6 piliers, vous pouvez visualiser le résultat consolidé dans le dernier onglet sous la forme d’un graphique radar et situer ainsi votre niveau de maturité entre Traditionnel, Avancé ou Optimal sur l’ensemble des piliers.
Remarque : Même si les solutions sont souvent décrites par leur nom générique : CASB (Cloud Access Security Broker), EDR (Endpoint Detection & Response), SIEM (Security Information and Event Management), CSPM (Cloud Security Posture Management), CWP (Cloud Workload Protection), etc., les exemples référencent les solutions du portfolio Microsoft avec des liens sur leur documentation.
Conseils et astuces
Ci-dessous quelques conseils pour vous guider dans l’utilisation de ce questionnaire :
- Vous n’êtes pas obligé de remplir tous les onglets. Vous pouvez vous concentrer sur l’un des piliers en particulier. Sachez cependant qu’effectuer l’exercice sur l’ensemble des piliers vous donnera une vision complète et que des sujets comme la supervision sont transversaux.
- N’hésitez pas à consulter la description et l’URL pour être sûr de bien avoir tous les éléments de compréhension avant de répondre.
- Toutes les réponses n’ont pas le même poids : vous pouvez tester l’impact sur le score si vous améliorez votre posture.
- Utilisez la colonne « Remarques » pour ajouter des compléments à votre analyse sur chaque question.
- N’hésitez à vous faire aider si certains sujets vous semblent complexes.
Et ensuite ?
On l’a vu plus haut, dans la structuration d’un projet Zero Trust, la détermination du niveau de maturité est une étape importante. La première chose à faire est de télécharger le questionnaire de Maturité Zero en choisissant la langue et d’effectuer l’exercice pour votre propre organisation.
Cependant, l’objectif final de l’étude est de définir les différents sujets qu’il vous faudra traiter dans chaque pilier, les briques technologiques à déployer ou intégrer pour aboutir à la construction de la feuille de route de votre voyage vers le Zero Trust.
Pour vous guider dans cette démarche, n’hésitez pas à lire ou relire le livre blanc Initier un projet de transformation Zero Trust disponible également en français et anglais.
Questions Fréquentes
Qu’est-ce que le modèle de sécurité Zero Trust ?
Le modèle Zero Trust est une approche de sécurité qui remplace l’approche périmétrique traditionnelle en prenant en compte les nouvelles mutations technologiques et les menaces informatiques complexes. Il repose sur trois principes fondamentaux : vérifier explicitement chaque connexion, appliquer le principe du moindre privilège pour limiter l’accès, et présupposer la compromission pour mieux détecter et minimiser les risques en cas d’attaque.
Pourquoi adopter le modèle Zero Trust ?
Le modèle Zero Trust permet de renforcer la sécurité des organisations face aux nouvelles menaces et mutations technologiques telles que le Cloud, la mobilité et le travail à distance. En appliquant les principes de Zero Trust, les entreprises peuvent mieux contrôler l’accès aux ressources, réduire les risques de compromission et autoriser de nouveaux scénarios, comme le télétravail.
Quels sont les 6 piliers du modèle Zero Trust ?
Les 6 piliers du modèle Zero Trust sont : Identité, Appareils, Données, Applications, Infrastructure et Réseau. Chaque pilier représente un domaine spécifique sur lequel les principes de Zero Trust doivent être appliqués pour assurer une sécurité globale.
Comment démarrer un projet Zero Trust dans son organisation ?
Pour démarrer un projet Zero Trust, il est essentiel d’évaluer le niveau de maturité actuel de l’organisation en matière de sécurité. Ensuite, il convient de définir la cible souhaitée et de construire une transition vers le modèle Zero Trust en identifiant les technologies nécessaires et en affectant des priorités.
