De plus en plus, les employés accèdent à leurs données, applications et serveurs professionnels dans le cloud, via des réseaux publics ou privés, et souvent depuis leur domicile. Ceci montre à quel point les données professionnelles sensibles, tout comme l’activité professionnelle, ne sont plus confinées au périmètre de l’entreprise.
Cette nouvelle flexibilité est à l’origine de défis sans précédent en ce qui concerne le contrôle et la gestion des accès aux données et aux applications. Les entreprises qui autorisent l’utilisation de terminaux personnels et offrent ainsi une flexibilité au travail sont désormais dans l’obligation de revoir le périmètre de leurs réseaux et leurs politiques de sécurité.
En effet, elles ne peuvent plus se permettre de prévoir que leurs utilisateurs accéderont à leur réseau uniquement de l’intérieur de leurs locaux, protégé par leur pare-feu. À une époque où les salariés travaillent de plus en plus en dehors de l’enceinte sécurisée du réseau de l’entreprise, faire reposer ses pratiques de gestion des accès et de sécurité uniquement sur la base d’un périmètre physique est non seulement obsolète, mais peut aussi se révéler très dangereux.
Pour les équipes informatiques, gérer les accès des salariés en fonction de leurs besoins peut être un véritable casse-tête. Les architectes de sécurité doivent donc créer de nouveaux réseaux de confiance basés sur l’identité et l’authentification pour limiter les risques.
C’est ainsi qu’a émergé l’approche « Zero Trust », en réaction aux nouveaux comportements numériques. Une composante centrale du Zero Trust repose sur le fait que toute personne et que tout appareil qui accède aux données ou qui les traite est considéré, par défaut, comme non fiable. L’accès aux ressources de l’entreprise est donc restreint jusqu’à ce que l’utilisateur ait prouvé qu’il est bien celui qu’il prétend être. Cette identification peut être basée sur différents facteurs, un mot de passe tout comme une clé physique YubiKey, ou encore une authentification contextuelle, reposant par exemple sur des habitudes de connexion. L’authentification contextuelle et continue est également recommandée pour assurer une surveillance des modifications de ces informations.
La mise en œuvre d’une stratégie Zero Trust, qui établit l’identité comme nouveau périmètre, permet non seulement de sécuriser les ressources de l’entreprise en s’assurant que seuls les utilisateurs vérifiés sont autorisés à y accéder, mais aussi d’aider les entreprises à conserver la mobilité et la flexibilité que les travailleurs d’aujourd’hui attendent. Avec les bons protocoles d’authentification implémentés, les employés pourront travailler sur n’importe quel appareil, depuis le lieu de leur choix, facilement et en toute sécurité.