La gouvernance des données au service du Zero Trust (Confiance Zéro)
Publié par La rédaction le | Mis à jour le
Indispensable aux entreprises, la donnée devient aussi un facteur de risque. Le modèle Zero Trust est l’une des approches préconisées pour se protéger. Mais il a aussi ses défauts. Mal installé, il peut accroître la vulnérabilité avec un faux sentiment de sécurité. La gouvernance des données ajoute de ce point de vue une surcouche de protection précieuse.
Le Zero Trust repose sur l’idée que le risque est omniprésent, à l’extérieur ou à l’intérieur de l’entreprise. Il reprend trois principes :
– La violation de sécurité jusqu’à preuve du contraire. Il présuppose que l’utilisateur ne fait pas partie de l’entreprise.
– La vérification explicite. Elle consiste à vérifier l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service demandé, l’application, la donnée elle-même.
– L’accès à privilège minimum. Les accès utilisateurs sont cloisonnés entre eux, réduits au juste à temps et juste assez.
Le Zero Trust, un modèle qui comporte des failles
La première concerne son architecture complexe à mettre en place. Il nécessite une mise en œuvre progressive et suppose le déploiement de solutions de sécurité à intégrer dans un système global de défense. Cela peut engendrer des erreurs de configuration, failles exploitables par les cyberattaquants.
La seconde réside dans le faux sentiment de sécurité créé au sein des différents espaces de travail collaboratifs. En effet, une fois l’utilisateur autorisé à accéder, les données peuvent être partagées avec des utilisateurs externes.
La politique de gouvernance comme surcouche de protection
C’est là qu’entre en jeu la politique de gouvernance des données comme une surcouche de protection. Elle agit comme un conteneur – le workspace – entre la donnée et l’utilisateur. La gouvernance des espaces collaboratifs complète le modèle Zero Trust grâce à cinq grands principes :
Les données sont classées selon leur degré de sensibilité. Des paramètres de protection y sont rattachés pour se prémunir des accès inappropriés, des partages non autorisés, etc.
Les échanges avec l’externe sont sécurisés, avec des accès spécifiques de type “invité”. Des outils tiers de surveillance des connexions améliorent la sécurisation des espaces de travail numérique.
La mise en place d’accès à privilège minimum à certaines applications peut réduire l’efficacité des équipes. La délégation de la gouvernance de certaines applications ou certains accès au service IT limite ces effets.
Appliquer le modèle Zero Trust peut s’avérer ardu et suppose de s’appuyer sur des experts. La politique de gouvernance de données apporte un filet supplémentaire de sécurité aux entreprises : elle catégorise les données selon leur sensibilité et compartimente les différents espaces de travail. Faute de gouvernance, la donnée a tôt fait de passer du statut d’actif au statut de risque.
En savoir plus sur les solutions Zero Trust d’AvePoint.