Principes fondamentaux du Zero Trust : l'Open Group

Version imprimable, PDF et e-mail

Remarque : cet article fait partie d'une série en 5 parties sur les origines et les principes du Zero Trust

The Open Group est un consortium international neutre vis-à-vis des fournisseurs et des technologies composé de centaines d'organisations. Il développe des normes et certifications technologiques, et il intègre le travail de l'ancien Jericho Forum, disparu en 2013. The Open Group gère une bibliothèque de publications, dont le livre blanc définissant les principes fondamentaux du Zero Trust. Découvrez ces 11 principes fondamentaux, organisés en 4 grands thèmes communs :

  1. Les principes de valeur organisationnelle et d'alignement des risques répondent aux objectifs clés des domaines commercial, informatique et de la sécurité afin de s'adapter aux principaux moteurs stratégiques.
    1. Facilitation du travail moderne
    2. Alignement des objectifs
    3. Alignement des risques
  2. Les principes de gouvernance et les mesures de protection répondent aux exigences de conformité, de risque et de sécurité de l'information afin de guider l'adoption du Zero Trust et d'assurer la durabilité des assurances.
    1. Supervision et inspiration des employés
    2. Réduction des risques et de la complexité
    3. Alignement et automatisation
    4. Sécurité sur l'ensemble du cycle de vie
  3. Les principes technologiques répondent aux besoins des domaines de l'organisation informatique, de la sécurité de l'information, des risques et de la conformité, et déterminent les décisions technologiques qui sous-tendent le développement d'une architecture Zero Trust, dont les questions liées à l'identité, à l'accès et à la réduction de la surface de menace.
    1. Sécurité axée sur les actifs
    2. Moindre privilège
  4. Les principes relatifs aux contrôles de sécurité répondent aux besoins des architectes de sécurité et informatiques afin de garantir des bases solides en matière de confidentialité, d'intégrité et de disponibilité.
    1. Simple et omniprésent
    2. Validation explicite de l'approbation

Les termes décrivant ces principes et thèmes reprennent directement ceux du document The Open Group Zero Trust Core Principles (Les principes fondamentaux du Zero Trust selon The Open Group) contenant des informations bien plus détaillées.

Le Zero Trust en action

Inspirez-vous de ces thèmes pour répondre aux besoins de votre entreprise et à ses préoccupations en matière de gestion des risques. The Open Group donne l'exemple d'Acme Banking Corp, une banque traditionnelle qui perdait des clients en raison des perturbations liées au COVID, à la transformation numérique et à l'évolution de l'environnement réglementaire. Dans cet exemple, l'équipe dirigeante d'Acme recherchait une stratégie capable de répondre à ces nouvelles exigences :

  • Acme Banking Corp. doit faciliter le travail à distance afin que ses employés puissent travailler à domicile sur leurs propres appareils (y compris les agents bancaires qui interagissent avec les clients en ligne).
  • Pour adopter un modèle agile, la banque doit migrer vers un environnement numérique avec plus d'interactions en ligne et moins d'établissements bancaires physiques.
  • L'évolution constante des modèles commerciaux et des relations avec les clients (sans oublier les applications) pousse à gérer une complexité grandissante afin de ne pas se laisser dépasser par la concurrence et les préférences des clients.

En vous reposant sur les principes de The Open Group, vous pouvez aligner vos nouvelles exigences métier sur les exigences de sécurité du Zero Trust. Prenons le premier thème, valeur organisationnelle et alignement des risques :

  • Principe de base 1 : facilitation du travail moderne. Répondre à l'évolution rapide des besoins des consommateurs et des relations commerciales en tirant parti de la capacité d'identité adaptative du Zero Trust.
  • Principe de base 2 : alignement des objectifs. Identifier, répondre et atténuer les menaces dès leur apparition en tirant parti de la capacité de réponse en temps réel/quasi temps réel du Zero Trust .
  • Principe de base 3 : alignement des risques. Se conformer aux organismes de réglementation en tirant parti des capacités de risque quantitatif du Zero Trust par le biais de cadres de risque standardisés et d'un audit automatisé.

En structurant votre stratégie de sécurité de cette façon, vous révèlerez tous les points qui auraient pu vous échapper. C'est aussi l'occasion de communiquer le concept Zero Trust par le biais des principes moteurs de l'entreprise.

Dans le prochain article de cette série, nous verrons le modèle de maturité CISA pour le Zero Trust. Vous pouvez accéder aux autres articles de la série ici.

 

Remonter en haut de page
Tweeter
Partager
Partager