Le concept de Zero Trust est un modèle de sécurité informatique qui s’appuie sur le principe de « ne jamais faire confiance, toujours vérifier« .
Le NIST (National Institute of Standards and Technology) fournit un cadre général, une feuille de route pour la mise en œuvre de Zero Trust.
Principaux critères
- Vérification continue de l’identité : l’identité d’un utilisateur ou d’un appareil est vérifiée en permanence, même après l’authentification initiale.
- Moindre privilège : les privilèges accordés aux utilisateurs et aux systèmes sont uniquement ceux nécessaires pour accomplir leurs tâches spécifiques.
- Micro-segmentation : le réseau est divisé en segments plus petits pour limiter la propagation des attaques en cas de compromission.
- Inspection approfondie du trafic : le trafic réseau est analysé de manière approfondie pour détecter les comportements suspects ou malveillants.
- Zones de confiance zéro : toutes les parties du réseau sont considérées comme non fiables, quel que soit leur emplacement.