Même si l’année 2020 est bientôt derrière nous, les enseignements tirés sont appelés à perdurer. En raison de la pandémie mondiale, les entreprises ont appris à accepter de travailler de manière hybride. Les employés se sont habitués au télétravail, et même s’ils reprennent progressivement le chemin du bureau, il est fort probable qu’ils continuent de profiter du meilleur des deux mondes : le choix de travailler en entreprise dans son bureau, dans un espace de travail partagé ou à domicile. Cependant, cette flexibilité soulève un nouveau défi pour les équipes IT.
Elles ont d’abord dû sécuriser en urgence les employés qui ont commencé à travailler à distance, en dehors du réseau d’entreprise. Et elles doivent maintenant garantir la sécurité de l’entreprise sans frontières dans le cadre d’une vision plus large de cette nouvelle approche du travail.
La migration d’applications dans le Cloud, associée au retrait de la présence physique sur site, a eu pour conséquence de réduire la clarté des frontières de l’entreprise, qui sont donc devenues plus poreuses. À terme, si le personnel et les applications quittent le réseau, la perte du périmètre est inévitable. Cela signifie que l’expérience de travail d’un employé doit être la même, qu’il travaille dans un bureau, un café ou une gare. La dissolution complète du périmètre d’entreprise se trouve, il faut l’admettre, plutôt à l’extrémité de l’échelle. En réalité, de nombreuses entreprises se situent quelque part entre les deux, mais auront toujours besoin de sécuriser correctement certains aspects de l’entreprise sans frontières.
La sécurité sans frontières
Dans les entreprises les plus modernes, les équipes IT ont déjà introduit certains aspects de cet avenir sans frontières. Cependant, beaucoup d’équipes de sécurité s’accrochent à cette mentalité de sécurité qui privilégie un périmètre « en dur ». Cette approche les empêche d’adopter un réseau totalement dépourvu de frontières et de profiter de l’ensemble de ses avantages.
Pour adapter la sécurité à l’ère moderne du « travail n’importe où », l’équipe IT doit dans un premier temps identifier les risques de ce nouveau monde pour le personnel et les actifs de l’entreprise. Pour franchir l’étape suivante, il faut se poser cette question : « Pourquoi, en tant qu’entreprise, nous nous sentions en sécurité avant? » La réponse la plus probable sera la suivante : parce que le périmètre empêchait les menaces malveillantes et potentiellement dangereuses de pénétrer via un pare-feu et un service proxy Web, d’où le sentiment de sécurité à l’intérieur des limites.
En ce qui concerne la sécurité IT, l’entreprise sans frontières contrecarre l’idée bien ancrée, mais erronée, selon laquelle un des côtés du périmètre est sûr, mais pas l’autre. Globalement, ce n’est pas parce que quelque chose est à l’intérieur du réseau et du périmètre que sa sécurité est garantie.
La plupart des menaces affluent aujourd’hui à travers des connexions acceptées à Internet, et ce sont ces appareils connectés, qui fonctionnent à l’intérieur du réseau, qui sont compromis et conduisent à des violations. L’objectif de la limite précédente entre un utilisateur et Internet était d’assurer un trafic légitime. Pour résumer, si les entreprises ne disposent plus d’un périmètre sécurisé autour de leur personnel mobile, elles doivent chercher de nouveaux moyens d’assurer un trafic légitime. Ce n’est plus la structure qui compte, mais les résultats d’une connectivité sécurisée de l’utilisateur à ses applications et données, et ce, peu importe où celles-ci sont conservées et où l’utilisateur se trouve.
La sécurité dans le Cloud, gage de connexions sûres
Afin de sécuriser le trafic, les entreprises se tournent désormais vers l’accès réseau Zero Trust (ZTNA). Connecter les utilisateurs autorisés à leurs actifs spécifiques pour fournir l’accès à une application, sans ouvrir l’ensemble du réseau, rétablit une connectivité de confiance, composante essentielle de l’entreprise sans frontières. Un tel paradigme de sécurité parvient au même résultat et soutient en même temps une culture de travail plus agile. Le Secure Access Service Edge (SASE) est une autre composante de cette nouvelle frontière. Il assure la connectivité mentionnée ci-dessus aux actifs connus, ainsi que la connexion au réseau Internet plus vaste. Il peut appliquer des politiques basées sur l’identité et la destination, indépendamment du lieu où se trouvent les employés. Cela permet aux utilisateurs de se connecter directement à Internet de manière sécurisée. En supprimant le besoin de ramener le trafic vers les contrôles, les entreprises bénéficient d’une infrastructure de réseau plus abordable. Elles réduisent aussi les coûts en raison de la baisse du trafic MPLS. Dans le même temps, un modèle de sécurité Zero Trust qui assure la filtration du trafic dans le Cloud fournit une approche homogène à tous les utilisateurs, quel que soit leur emplacement. La sécurité dans le Cloud est la solution ultime pour relever le défi de l’entreprise sans frontières.
Lorsque chaque employé devient un bureau satellite, les entreprises doivent se débarrasser de la croyance de longue date selon laquelle seul un périmètre de confiance peut les protéger. À l’avenir, il faudra extraire la valeur des infrastructures matérielles et instaurer la confiance dans les résultats d’un trafic sécurisé, assuré de façon différente.
Aujourd’hui, il ne s’agit plus de manipuler un boîtier et de le gérer pour gagner la confiance, mais de créer un partenariat avec un prestataire de services de sécurité dans le Cloud. Il est donc dans l’intérêt du prestataire de sécurité d’instaurer et de maintenir cette confiance, comme partie intégrante de son modèle commercial. Le prestataire de services de sécurité dans le Cloud doit rediriger cette confiance que les équipes IT ont gagnée au fil des ans avec les infrastructures physiques vers une sécurité Zero Trust. Lors de la création d’une entreprise sans frontières, il est essentiel d’entretenir de bonnes relations avec un fournisseur Cloud, qui peut mettre en œuvre un service Zero Trust au sein d’une organisation et aborder les doutes ou inquiétudes.
Il est certain que les exemples de modèles de travail hybrides vont se multiplier à l’avenir, à mesure que les entreprises appellent progressivement, et à leur propre rythme, leurs employés à revenir dans les bureaux. En l’état, les équipes IT seront confrontées à des risques de sécurité plus élevés. Si elles souhaitent atténuer ces risques, elles devront aller à l’encontre de leur instinct de périmètre strict.