EN BREF
Développer une stratégie de déploiement du Zero Trust au sein de Palo Alto Networks
Une méthodologie centrée sur les données, qui combine pare-feu nouvelle génération Palo Alto Networks, Prisma® Access, Prisma® Cloud et Cortex® pour sécuriser les utilisateurs, les applications et les infrastructures
Palo Alto Networks est le partenaire cybersécurité de confiance de plus de 70 000 clients dans plus de 150 pays. Sa mission : faire en sorte que chaque jour soit plus sûr que le précédent. L’entreprise propose pour cela des solutions qui apportent aux organisations la visibilité, l’information, l’automatisation et la flexibilité dont elles ont besoin pour se développer en toute sécurité. Aujourd’hui, la gamme complète de solutions Palo Alto Networks protège plus d’un milliard de personnes dans le monde.
Comme pour la plupart des grandes entreprises, le réseau de Palo Alto Networks a connu ces dernières années une forte augmentation du nombre d’accès à distance, de même qu’un recours accru aux applications SaaS (Software- as-a-Service). Ce changement s’est traduit par un élargissement de la surface d’attaque exposant l’entreprise à un nombre croissant de tentatives de cyberattaques. Pour ses dirigeants, la mise en place d’une approche Zero Trust s’imposait comme une évidence.
En fait, le Zero Trust était une priorité pour Palo Alto Networks depuis de nombreuses années. Mais en 2021, Niall Browne, Responsable de la sécurité des systèmes d’information (RSSI), et son équipe InfoSec ont commencé à plancher sur une méthodologie visant à renforcer la posture de l’entreprise en la matière. L’équipe a ainsi développé une approche intuitive qui permet d’adapter et de renforcer son architecture Zero Trust au fil de l’évolution de l’entreprise.
PROBLÉMATIQUE
Palo Alto Networks assure la sécurité des plus grands groupes au monde. C’est pourquoi elle doit rester en pointe dans le domaine du numérique. Au fil de sa transformation digitale, l’entreprise a fait de plus en plus appel aux services cloud et applications SaaS auxquels ses collaborateurs devaient pouvoir accéder à distance aux quatre coins de la planète, depuis des postes de travail toujours plus nombreux et variés.
En tant que leader mondial de la cybersécurité, l’entreprise possède un capital intellectuel extrêmement riche qui fait d’elle une cible de choix pour les hackers. Ces dernières années, les attaques ont d’ailleurs gagné en fréquence et en sophistication. Pour Niall Browne et l’équipe InfoSec, l’élargissement de la surface d’attaque et l’intensification des menaces représentaient un risque pour le réseau que seule une approche Zero Trust permettrait de juguler.
Néanmoins, aucun processus complet et reproductible n’avait jusque-là été mis en place. Certes, le concept de Zero Trust n’avait rien de nouveau à l’époque : il consistait déjà à éliminer toute notion de confiance implicite pour vérifier et valider toutes les étapes d’une transaction numérique. Néanmoins, sa mise en place ne se résume pas à l’installation d’une solution de sécurité ; elle est l’aboutissement d’une approche stratégique, d’un engagement sans faille et d’optimisations constantes au fil du temps.
Qu’on ne s’y trompe pas : l’application stricte d’une stratégie Zero Trust constitue un véritable défi, tant chaque organisation doit composer avec des priorités souvent contradictoires. De leur côté, les équipes de sécurité de Palo Alto Networks suivent de près l’évolution des menaces et de l’environnement numérique de l’entreprise, mais se retrouvent souvent accaparées par le fort volume de menaces et par des attaques d’envergure mondiale comme Log4j. Difficile, dans ces conditions, de poursuivre une démarche de détection et de correction proactives des nouvelles failles de sécurité.
Avec l’accélération de ses activités et l’expansion constante de son écosystème, Palo Alto Networks voyait son parc d’applications SaaS augmenter chaque jour, à tel point que son équipe InfoSec peinait à toutes les auditer et les cataloguer. Quant aux propres impératifs de sécurité de ses nombreux clients à travers le monde, ils risquaient à tout moment de détourner l’attention, les ressources et les compétences du projet Zero Trust.
« Nous savions qu’une approche Zero Trust était essentielle, qu’elle devait être facile à communiquer et donner des résultats reproductibles », explique Niall Browne.
CAHIER DES CHARGES
Pour commencer, M. Browne et l’équipe InfoSec devaient définir des objectifs Zero Trust concrets à atteindre. En analysant les difficultés rencontrées par les autres organisations, ils ont pu identifier les éléments culturels et techniques indispensables à la réussite de leur propre stratégie.
Une approche Zero Trust ne peut réussir sans l’adhésion des équipes dirigeantes et un investissement financier soutenu. D’où l’importance d’opter pour une stratégie facile à expliquer, avec des points d’étape réguliers permettant de démontrer les résultats obtenus.
Leur approche devait également être holistique, c’est-à-dire couvrir le triptyque que sont les utilisateurs, les applications et l’infrastructure. Pour les applications, il fallait débuter par un audit de tout le parc cloud et on-prem au regard des bonnes pratiques Zero Trust, tout en se concentrant sur les ressources les plus vitales, à savoir celles traitant ou stockant des données critiques ou constituant une cible attractive pour les acteurs malveillants.
Ce faisant, ils ont pris conscience du fait que le Zero Trust était un engagement sans fin. Pour accompagner l’évolution de ses opérations, Palo Alto Networks ajoute constamment de nouvelles ressources, applications et technologies que l’architecture Zero Trust se devait de couvrir. Cela passait donc par la mise en place d’un processus d’évaluation et d’amélioration continues.
SOLUTION
Le RSSI a travaillé en étroite collaboration avec les équipes dirigeantes de Palo Alto Networks, et ce afin de débloquer les budgets nécessaires et d’obtenir leur soutien indéfectible pour faire du Zero Trust une priorité absolue à l’échelle de l’entreprise. Ce soutien des plus hautes sphères de l’organisation était une première étape indispensable au démarrage de ce grand chantier.
Pour établir un plan et définir clairement l’ordre des priorités, l’équipe InfoSec a commencé par poser une série de questions :
Comme on peut le constater à travers ces questions, l’approche suivie était clairement axée sur la data. Les applications qui utilisent des données doivent être sécurisées, et cette sécurité doit s’étendre à l’ensemble de l’infrastructure, l’objectif étant de protéger les données contre tout accès et utilisation non autorisés par les applications, appareils ou utilisateurs. Pour cela, les administrateurs doivent disposer d’une visibilité sur chaque point d’accès.
Niall Browne détaille cette approche : « Nous devions identifier nos ressources les plus stratégiques et leur emplacement sur le réseau pour mettre en place une stratégie capable de gérer les utilisateurs, les applications et l’infrastructure. »
Ainsi, l’équipe InfoSec dispose de tous les éléments pour mesurer l’efficacité de sa méthodologie Zero Trust. Des audits permettent de démontrer que les données les plus précieuses de l’organisation sont sécurisées, ce qui vient renforcer et valider l’adhésion des équipes dirigeantes.
Collaborer avec les équipes produit pour accélérer l’innovation
En interne, l’équipe InfoSec de Palo Alto Networks est souvent considérée comme le premier de nos clients. Ce rôle lui permet de collaborer avec les équipes produit afin de concevoir des solutions parfaitement adaptées au réseau de l’entreprise, et par la même occasion améliorer les solutions que Palo Alto Networks fournit à ses clients. Grâce à cette collaboration, l’équipe InfoSec peut optimiser les solutions en vue de répondre aux exigences spécifiques du Zero Trust.
L’utilisation des modules User-ID, App-ID et Device-ID a ainsi permis de gagner en visibilité et de bien comprendre la nature du trafic sur le réseau. Et en combinant des pare-feu nouvelle génération on-prem à Prisma Access, elle a mis en place une segmentation et des contrôles efficaces sur le réseau. Elle a également déployé un système d’autorisation permettant de valider les accès aux données, aux ressources et aux applications stratégiques, avec authentification multifacteur systématique pour chaque utilisateur.
L’équipe a ainsi pu définir un ensemble de politiques Zero Trust pour :
Elle a également permis au SOC (Security Operations Center) de l’entreprise de gagner en visibilité sur les applications brassant des données sensibles.
Grâce à cette approche, Niall Browne et son équipe garantissent la sécurité des données stratégiques, avec des accès strictement réservés aux utilisateurs, applications et appareils dûment autorisés. Chaque transaction de données est également soumise à une vérification de l’identité, et l’équipe InfoSec est désormais en mesure de suivre, de gérer et d’améliorer sa posture Zero Trust en continu.
AVANTAGES
Pour Palo Alto Networks, une méthodologie Zero Trust efficace garantit la sécurité des données les plus stratégiques, avec un renforcement continu de la protection par davantage de granularité au fil du temps. Aujourd’hui, le Zero Trust joue un rôle moteur dans le travail d’amélioration constante de la posture de sécurité de Palo Alto Networks. L’entreprise peut ainsi poursuivre sa transition numérique en toute confiance.
Tout comme le projet Zero Trust initial a permis d’optimiser les produits de Palo Alto Networks, le retour d’expérience permanent de l’équipe InfoSec donne aux développeurs produit des clés précieuses pour corriger certains problèmes et ajuster la feuille de route produit. Grâce à ce rôle, l’équipe a gagné en visibilité sur son propre environnement data et simplifié les outils de gestion du Zero Trust, tout en assurant le niveau de sécurité indispensable face à des menaces de plus en plus intenses et virulentes.
En intégrant les fruits de ces améliorations dans ses produits, Palo Alto Networks se place en position de force pour accompagner les clients dans leur mise en place d’une stratégie Zero Trust efficace. Sachant que les entreprises à la tête d’un écosystème numérique vaste et complexe doivent toutes relever des défis similaires à ceux de Palo Alto Networks, l’approche de Niall Browne et de son équipe peut être déclinée à tous les clients, avec les mêmes avantages à la clé.
Cette approche axée sur les données permet notamment aux responsables de la sécurité de présenter plus efficacement les initiatives Zero Trust à leur équipe de direction. « Les DSI et RSSI peuvent parler concrètement de protection des données, au lieu de palabrer sur une multitude de métriques difficiles à cerner », constate Niall Browne. « Ce concept est beaucoup plus parlant et facile à expliquer. » Cette approche innovante permet aux équipes de sécurité d’obtenir des résultats plus probants et de présenter plus facilement les résultats obtenus.
La mise en place d’une approche Zero Trust parfaitement opérationnelle est une réussite importante pour Palo Alto Networks. Pourtant, le travail est loin d’être terminé pour Niall Browne et son équipe. La nature dynamique de l’activité, des données, des applications, des réseaux et des environnements cloud impose d’apporter des retouches permanentes.
En ce sens, l’équipe cherche constamment de nouveaux moyens de renforcer l’efficacité de son approche Zero Trust, s’appuyant sur sa méthodologie d’amélioration continue pour optimiser ses développements produits et maintenir Palo Alto Networks à la tête du marché mondial des solutions de sécurité réseau.
Pour en savoir plus sur la manière dont Palo Alto Networks peut vous aider à sécuriser vos données, terminaux et applications, cliquez ici.