L’approche Zero Trust implique la mise en place de contrôles pour garantir que seuls des utilisateurs vérifiés peuvent accéder aux ressources de l’entreprise à partir d’appareils approuvés.
PME & Cybersécurité : 7 étapes pour une approche Zero Trust
Cette stratégie répond aux défis des PME : développement du travail hybride, Bring Your Own Device, augmentation des cyberattaques.
Alors, voici 7 conseils de JumpCloud, pour les PME qui souhaitent entreprendre une approche de sécurité Zero Trust.
Dresser son inventaire numérique
Lister ses actifs numériques : réseaux, données, appareils, flux de travail & identités.
Pour apprendre où se situent les données sensibles, comment elles circulent dans l’organisation, les utilisateurs qui y accèdent et les appareils qu’ils utilisent pour y accéder, et tout cela afin de prioriser les points de protection.
Établir une gestion des identités et des accès, basée sur le principe du moindre privilège
Garantir que chaque collaborateur bénéficie d’un accès contrôlé aux ressources numériques dont il a besoin, tout en excluant celles dont il n’a pas besoin.
Cette gestion est un des ajouts les plus importants, en particulier dans un environnement de travail de plus en plus hybride. Lorsqu’elle est correctement mise en œuvre, elle permet d’éviter que des ressources sensibles ne tombent entre de mauvaises mains. Comme par exemple, des collaborateurs administratifs, sous contrat, qui pourraient avoir accès aux données financières de l’entreprise.
Adopter l’authentification multifactorielle
L’authentification multi-facteurs (MFA) est un élément essentiel de la gestion des identités et des accès. Cette solution de sécurité nécessite des facteurs de vérification supplémentaires au-delà d’un nom d’utilisateur et d’un mot de passe de base et contraint les utilisateurs à fournir plusieurs méthodes de vérification avant d’accéder à une ressource. Selon Google, ce procédé peut stopper toutes les attaques automatisées, 96 % des attaques de phishing en masse et 75 % des attaques ciblées.
Renforcer les informations d’identification
Des mots de passe trop simples, utilisés de manière systématique et changés à intervalles trop rares, peuvent être une aubaine pour les individus malveillants.
Il est donc impératif de s’assurer que ses collaborateurs fassent usage de mots de passe forts, plus difficiles à décrypter et plus il est efficace pour prévenir les violations.
Mettre en place une gestion des appareils mobiles
L’ensemble des outils formant la gestion des appareils mobiles (ou Mobile Device Management, MDM) permet d’intégrer les employés et de configurer les appareils en toute sécurité.
Il renforce la cybersécurité en n’autorisant que des accès conditionnels et en protégeant les appareils perdus ou volés.
Réduire sa surface d’attaque
Cette surface désigne la zone de votre système orientée vers l’extérieur, comme les sites web de l’entreprise, les portails des employés, les certificats de sécurité expirés et les informations d’identification des employés volées… Plus la surface d’attaque est petite, plus il est facile de la protéger.
Prioriser l’installation des correctifs de sécurité
Les administrateurs informatiques surveillent en permanence les appareils, les applications et les systèmes afin d’identifier et de corriger les failles de sécurité.
C’est pourquoi la gestion des correctifs fait partie intégrante du modèle Zero Trust.
Il s’agit d’une combinaison de meilleures pratiques, fonctionnant ensemble pour renforcer la sécurité du réseau, et dont la mise en œuvre complète peut prendre des années.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.