Qu'est-ce que la Confiance Zéro ?
La confiance zéro est une stratégie de sécurité. Ce n’est pas un produit ou un service, mais une approche dans la conception et l’implémentation de l’ensemble de principes de sécurité suivants.
| Principe | Description |
|---|---|
| Vérifiez explicitement. | Authentifiez et autorisez toujours en fonction de tous les points de données disponibles. |
| Administration selon le principe des privilèges minimum | Limitez l'accès utilisateur avec les concepts Just-In-Time (juste-à-temps) et Just-Enough-Access, des stratégies adaptatives basées sur les risques et la protection des données. |
| Supposez une violation. | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir une visibilité, générer la détection des menaces et améliorer les défenses. |
Ces principes sont le cœur de Zero Trust. Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Quelle que soit la provenance de la demande ou la ressource à laquelle il accède, le modèle Confiance Zéro nous apprend à « ne jamais faire confiance, toujours vérifier ».
Zero Trust est conçu pour s’adapter aux complexités de l’environnement moderne qui englobe la main-d’œuvre mobile. Zero Trust protège les comptes d’utilisateur, les appareils, les applications et les données où qu’ils se trouvent.
Une approche confiance zéro doit s’étendre dans l’ensemble de l’organisation et servir de philosophie de sécurité intégrée et de stratégie de bout en bout.
Différentes exigences organisationnelles, les implémentations technologiques existantes et les étapes de sécurité affectent toutes la façon dont une implémentation de modèle de sécurité Confiance Zéro est planifiée et exécutée. Nos conseils vous aident à évaluer votre préparation à la confiance zéro et vous aide à créer un plan pour accéder à Confiance Zéro. Nos conseils sont basés sur notre expérience aidant les clients à sécuriser leurs organisations et en implémentant notre propre modèle Confiance Zéro pour nous-mêmes.
Avec Confiance Zéro, vous passez d’une perspective d’approbation par défaut à une approbation par exception. Une fonctionnalité intégrée permettant de gérer automatiquement ces exceptions et alertes est importante. Vous pouvez détecter plus facilement les menaces, répondre aux menaces et empêcher ou bloquer les événements indésirables au sein de votre organisation.
Confiance zéro et l’Ordre exécutif américain 14028 sur la cybersécurité
L’ordre exécutif américain 14028, Amélioration de la cyber-sécurité de la Nation, dirige les agences fédérales sur l’avancement des mesures de sécurité qui réduisent considérablement le risque de cyberattaques réussies contre l’infrastructure numérique du gouvernement fédéral. Le 26 janvier 2022, le Bureau de gestion et de budget (OMB) a publié la stratégie fédérale de confiance zéro dans protocole 22-09, en faveur de l’ordre exécutif 14028. Microsoft fournit des conseils pour aider les organisations à répondre à ces exigences : Répondre aux exigences d’identité du protocole 22-09 avec Microsoft Entra ID.
Confiance zéro et Microsoft Secure Future Initiative (SFI)
L’initiative SFI (Secure Future Initiative) de Microsoft, lancée en novembre 2023, est un engagement de plusieurs années qui avance la façon dont Microsoft conçoit, crée, teste et exploite notre technologie Microsoft pour s’assurer que nos solutions répondent aux normes de sécurité les plus élevées possibles. Microsoft Secure Future Initiative est, en grande partie, une implémentation rigide de Zero Trust pour notre environnement unique afin d’améliorer notre posture de sécurité.
Pour plus d’informations sur SFI, consultez le site web Secure Future Initiative.
Ensemble de documentation
Suivez ce tableau pour obtenir les meilleurs ensembles de documentation Confiance Zéro pour vos besoins.
| Ensemble de documentation | Vous aide à... | Rôles |
|---|---|---|
| Cadre d'adoption pour fournir des orientations par phase et étape pour les principales solutions et résultats commerciaux | Appliquer des protections Confiance Zéro, de la direction à l’implémentation informatique. | Architectes de sécurité, équipes informatiques et responsables de projets |
| Ressource d’évaluation et de suivi de la progression | Évaluez la préparation de votre infrastructure et suivez votre progression. | Architectes de sécurité, équipes informatiques et responsables de projets |
| Kit partenaire Confiance Zéro | Ressources de suivi conjointes, atelier et schémas d'architecture | Partenaires et architectes de sécurité |
| Déploiement des piliers technologiques pour les informations conceptuelles et les objectifs de déploiement | Appliquez des protections confiance zéro alignées sur des domaines informatiques classiques. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour les petites entreprises | Appliquez les principes de confiance zéro aux clients des petites entreprises. | Clients et partenaires travaillant avec Microsoft 365 pour les entreprises |
| Confiance Zéro pour copilotes Microsoft pour des conseils détaillés et par étapes en matière de conception et de déploiement | Appliquez des protections confiance zéro à Microsoft Copilots. | Équipes informatiques et personnel de sécurité |
| Plan de déploiement de la Confiance Zéro avec Microsoft 365 pour des conseils détaillés et par étapes en matière de conception et de déploiement | Appliquez des protections confiance zéro à votre organisation Microsoft 365. | Équipes informatiques et personnel de sécurité |
| Réponse aux incidents avec XDR et SIEM intégrés | Définir des outils XDR et les intégrer à Microsoft Sentinel | Équipes informatiques et personnel de sécurité |
| Zero Trust pour les services Azure pour des conseils détaillés sur la conception et le déploiement | Appliquez des protections Confiance Zéro aux charges de travail et services Azure. | Équipes informatiques et personnel de sécurité |
| Intégration des partenaires avec la Confiance Zéro pour des conseils de conception dans les domaines technologiques et les spécialisations | Appliquez des protections Confiance Zéro aux solutions cloud Microsoft partenaires. | Développeurs partenaires, équipes informatiques et personnel de sécurité |
| Développer en utilisant les principes de la Confiance Zéro pour des conseils de conception et les meilleures pratiques applicables au développement d'applications | Appliquez des protections confiance zéro à votre application. | Développeurs d’applications |
| Conseils du gouvernement des États-Unis pour la CISA, le DoD et le Mémorandum pour l’architecture Confiance Zéro | Recommandations prescriptives pour les exigences du gouvernement des États-Unis | Architectes informatiques et équipes informatiques |
Formation recommandée
| Formation | Présentation de la Confiance Zéro |
|---|---|
|
Utilisez ce module pour comprendre l’approche Confiance Zéro et comment elle renforce l’infrastructure de sécurité au sein de votre organisation. |
| Formation | Présentation de la confiance zéro et des frameworks de bonnes pratiques |
|---|---|
|
Utilisez ce module pour en savoir plus sur les meilleures pratiques que les architectes de cybersécurité utilisent et certaines infrastructures clés pour les fonctionnalités de cybersécurité Microsoft. Vous découvrez également le concept de Confiance Zéro et comment commencer à utiliser Zero Trust dans votre organisation. |
Étapes suivantes
Découvrez le cadre d’adoption Microsoft "Zero Trust" .
Liens connexes :
Vue d’ensemble de la confiance zéro: cette vidéo fournit des informations sur :
- Définition de confiance zéro
- Principes de confiance zéro
- Concepts fondamentaux de confiance zéro
Confiance Zéro - Le groupe ouvert: cette vidéo donne un point de vue sur la confiance zéro d’une organisation de normes.