En tant que responsable cybersécurité d’une organisation multinationale, vous devez sécuriser l’accès aux données sensibles de votre entreprise. Votre entreprise s’appuie aujourd’hui sur un modèle de sécurité périmétrique mais de récentes violations de données et l’augmentation du télétravail montrent les limites de cette approche. Pour répondre à ces enjeux, vous proposez de migrer vers un modèle Zero Trust.

Quelle approche reflète le mieux les principes fondamentaux du modèle Zero Trust ?

[A] Rendre l’utilisation du VPN de l’entreprise obligatoire pour le télétravail et activer l’authentification à deux facteurs (2FA) ?
[B] Restreindre l’accès aux ressources de l’entreprise en segmentant le réseau et en autorisant uniquement les connexions depuis des adresses IP internes approuvées
[C] Implémenter une politique de sécurité de type « never trust, always verify » avec authentification continue, micro-segmentation et chiffrement des flux réseaux
[D] Réviser la cartographie du système d’information et généraliser les contrôles d’accès basés sur les rôles (RBAC)


reponse linkedin

CBK3 Q17 LINK


Proposition [A] L’usage d’un VPN avec authentification 2FA ne garantit pas complètement la sécurité d’un SI. Une fois la session VPN établie en contournant le 2FA (fatigue MFA, MitM, vol de session,…), un attaquant peut alors facilement opérer un mouvement latéral et atteindre des ressources critiques de l’entreprise. C’est justement pour éviter cela que le responsable sécurité a opté pour une approche Zero Trust.

Proposition [B] La segmentation est une composante clé du Zero Trust, mais se fier uniquement aux adresses IP internes est clairement insuffisant. Cette approche repose sur le concept de la protection périmétrique qui ne correspond pas au Zero Trust.

Proposition [C] Cette approche correspond bien aux principes fondamentaux du modèle Zero Trust. Elle intègre la micro segmentation pour limiter les mouvements latéraux, une authentification continue pour valider chaque transaction ainsi que la généralisation du chiffrement pour protéger les communications.

Proposition [D] Les contrôles basés sur des rôles (RBAC) sont très utiles mais ils manquent de flexibilité et de granularité. Le modèle Zero Trust nécessite un contrôle d’accès plus fin comme l’ABAC (Attribute-Based Access Control) avec la prise en compte de nombreux attributs tant sur le demandeur que sur la ressource demandée et d’autres attributs contextuels (localisation, comportement, …).

La bonne réponse est la proposition [C]

tip

Pour en savoir plus sur le modèle Zero trust nous vous recommandons de suivre le module n°8 de notre formation CISSP en distanciel.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE