Dans cette interview d’Aid Internet Security, Michal Cizek, PDG de GoodAccess, parle de l’équilibre important entre l’exploitation des ressources distribuées et la préservation des mesures de sécurité de première classe. Avec la tendance croissante au travail à distance, Cizek souligne la valeur de la mise en œuvre d’un modèle de sécurité zéro confiance, soulignant les complexités et les difficultés d’une telle entreprise.
Comment les organisations peuvent-elles tirer parti de ressources informatiques dispersées tout en assurant leur sécurité ?
Il est en fait devenu une norme qu’une entreprise n’exécute qu’une petite partie de ses services et installations informatiques dans votre région et que le reste soit déchargé vers des fournisseurs cloud et SaaS. Certaines vont encore plus loin, et les entreprises sans réseau local ne sont pas rares, ce qui était inconcevable il y a quelques années.
Il y a de nombreuses bonnes raisons à cela : optimisation des coûts, évolutivité, réduction de la complexité de la gestion et de l’entretien , manque de spécialistes informatiques compétents. Cela inclut également la complexité de la sécurité informatique, car quel que soit l’endroit où se trouvent les services auxquels vos employés accèdent, vous êtes toujours responsable de la protection de vos informations en transit et de la sécurisation de l’accès.
La confiance zéro est une technique moderne qui vous permet de profiter des avantages de l’informatique distribuée sans compromettre la sécurité. Il garantit un accès sûr et sécurisé aux ressources de n’importe où, peu importe où elles se trouvent. De plus, il remplace le concept obsolète de périmètre de confiance par une approche « zéro confiance » qui permet un accès granulaire au contrôle afin que les utilisateurs puissent accéder uniquement aux ressources dont ils ont besoin pour leur travail et non à l’ensemble du réseau.
Quels sont les complexités de la mise en œuvre d’un modèle de sécurité zéro confiance pour les petites organisations ?
La mise en place d’une sécurité zéro confiance implique souvent de reconcevoir la politique d’accès depuis le début. Les procédures existantes doivent être modifiées, tant pour l’administrateur de la sécurité informatique que pour les utilisateurs.
La sécurité Zero-Trust fonctionne sur le concept du moindre avantage, qui suppose la capacité d’attribuer des opportunités d’accès sur une base très granulaire. Cela nécessite un service de gestion des identités et des accès (IAM) ou un minimum de SSO pour la gestion principale des comptes d’utilisateurs, et un accès zéro confiance aux gestionnaires pour accorder l’accès aux systèmes individuels.
Tout cela peut être coûteux et peut nécessiter des efforts et des compétences que les petites entreprises n’ont généralement pas. Cela peut être traité en adoptant des solutions de sécurité SaaS zéro confiance qui offrent des contrôles d’accès granulaires et une gestion des utilisateurs à un coût réduit et, normalement, avec moins de complexité.
La formation des travailleurs est tout aussi importante. Les travailleurs peuvent résister à de nouveaux changements, et les organisations doivent prendre soin de décrire pourquoi les toutes nouvelles politiques ont été mises en place ; c’est-à-dire de ne pas compliquer la vie des employés mais d’augmenter la sécurité – à la fois celle de l’entreprise et la leur.
La résistance au changement peut également être rencontrée de la part de la direction. Lorsque les tout nouveaux outils de sécurité zéro confiance ne correspondent pas aux procédures de sécurité existantes, les administrateurs informatiques peuvent être amenés à plaider pour leur remplacement. Par exemple, un ancien VPN matériel, autrefois utilisé pour un accès sécurisé à distance, sera rendu obsolète par une option de sécurité zéro confiance, malgré le fait qu’il fonctionnait « parfaitement bien » auparavant.
Comment les entreprises peuvent-elles équilibrer le exigence de flexibilité avec exigence de sécurité dans la gestion d’une main-d’œuvre distante ?
Même les petites et moyennes entreprises ont subi des modifications importantes au cours des dernières années. Pour devenir plus flexibles, ils ont accueilli des modèles tels que le travail à distance, le BYOD, l’informatique décentralisée et ont déplacé leurs opérations vers le cloud. Ce n’est pas une exception qu’une organisation n’a pas de réseau personnel mais a naturellement encore des systèmes, des applications, des données et des travailleurs qui nécessitent une sécurité contre les menaces en ligne toujours croissantes.
Lors de la stabilisation de la sécurité de cette nouvelle réalité avec les exigences de la main-d’œuvre à distance, il ne s’agit pas seulement de la technologie, qui doit être simple à utiliser, fiable et ne pas interrompre l’utilisateur, mais également de la formation des membres du personnel. Les employés doivent être formés aux nouvelles politiques afin qu’ils ne résistent pas aux nouveaux traitements de sécurité, même s’ils y contribuent activement. Pour donner un exemple, l’authentification multifactorielle ne doit pas être considérée comme un problème mais comme un élément fondamental de la connexion et une force d’habitude pour tous les employés. Des exercices d’hameçonnage de routine doivent être menés pour former les employés à les trouver et à les signaler.
Pouvez-vous expliquer les fonctions essentielles de GoodAccess qui en font une plateforme de cybersécurité fiable pour les entreprises ?
Nous repensons la perception conventionnelle des VPN en tant qu’outil de chiffrement des fichiers de trafic pouvant fournir des adresses IP statiques si nécessaire. GoodAccess est un réseau complet de confiance zéro permettant d’accéder à la plate-forme qui permet un contrôle d’accès granulaire ainsi que des mesures supplémentaires qui améliorent la sécurité des services, telles que l’authentification unique, le filtrage DNS, l’accès aux journaux et la sécurité des risques en ligne.
Nous avons une infrastructure cloud mondiale pour que le client s’inscrive simplement au service, effectue une configuration standard, invite les membres du personnel à la plate-forme qui l’est. Il n’y a pas d’accrocs ni de complexité supplémentaire et tout fonctionne sur différentes plates-formes. GoodAccess couvre un certain nombre de cas d’utilisation tels que l’accès à distance, la connectivité de site à site et l’accès au contrôle des droits sous un même toit.
Tout cela est économique pour les petites et moyennes entreprises qui sont les clients sur lesquels nous nous concentrons.
Qu’est-ce qui distingue GoodAccess des autres services de cybersécurité du marché ?
Outre l’ensemble de fonctions qui va bien au-delà des capacités VPN standard, nous développons GoodAccess pour qu’il soit incroyablement simple à publier, à gérer et à utiliser. Généralement, toute entreprise, même sans spécialiste engagé, peut protéger l’accès à distance à ses systèmes de service, ses nuages et ses données en 10 minutes.
Nous fournissons un VPN avec « une touche humaine ». Nous ne sommes pas une société confidentielle fournissant des services froids, il y a de vraies personnes derrière GoodAccess qui sont constamment désireuses d’aider. Donc, si quelqu’un a besoin d’aide, il y a toujours quelqu’un de l’équipe qui aide à arranger les choses. C’est pourquoi notre assistance reçoit des commentaires fantastiques de la part des clients et se classe en tête des plateformes d’évaluation.
Vous avez récemment été accepté dans la Google for Startups Growth Academy for Cybersecurity. Qu’attendez-vous de cette opportunité ?
La Growth Academy de Google est une excellente occasion d’entrer en contact avec des entreprises spécialisées dans la cybersécurité dans notre région, de partager des expériences et éventuellement de trouver des partenariats technologiques synergiques. Nous le prenons comme une opportunité de mise en réseau avec des organisations comparables comme GoodAccess.
Une autre chose est le mentorat autour des méthodes internationales de mise sur le marché. Pour une entreprise en phase de croissance, il est nécessaire d’apprendre des meilleurs individus de l’industrie et la Startups Growth Academy est certainement le meilleur endroit pour nous.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
