La plupart des projets de microsegmentation échouent avant même qu’ils ne décollent – complexe, trop lents, trop perturbateurs. Mais Andelyn Biosciences a prouvé que cela ne devait pas être ainsi.
MicroSegmentation: la pièce manquante en sécurité de confiance zéro
Les équipes de sécurité sont aujourd’hui sous pression constante pour se défendre contre les cyber-menaces de plus en plus sophistiquées. Les défenses basées sur le périmètre ne peuvent plus offrir une protection suffisante à mesure que les attaquants se concentrent sur le mouvement latéral au sein des réseaux d’entreprise. Avec plus de 70% des violations réussies impliquant des attaquants se déplaçant latéralement, les organisations repensent la façon dont elles sécurisent le trafic interne.
La microsingation est devenue une stratégie clé pour obtenir une sécurité de confiance zéro en restreignant l’accès aux actifs critiques basés sur l’identité plutôt que sur l’emplacement du réseau. Cependant, les approches traditionnelles de la micro-alimentation – impliquant souvent des reconfigurations VLAN, des déploiements d’agents ou des règles de pare-feu complexes – ont tendance à être lente, perturbatrice sur le plan opérationnel et difficile à évoluer.
Pour Andelyn Biosciences, une organisation de développement et de fabrication de contrats (CDMO) spécialisée dans les thérapies géniques, la sécurisation de ses environnements de recherche et de fabrication pharmaceutique était une priorité absolue. Mais avec des milliers, IoT et des dispositifs OT fonctionnant sur des réseaux interconnectés, une approche de segmentation conventionnelle aurait introduit une complexité et des temps d’arrêt inacceptables.
Initialement, Andelyn a sélectionné une solution de contrôle d’accès au réseau (NAC) pour relever ces défis. Cependant, après près de deux ans après une mise en œuvre avec des frais généraux opérationnels élevés et une incapacité à évoluer efficacement la segmentation, l’équipe de sécurité est devenue frustrée par le manque de progrès. La complexité de l’application basée sur les agents et de la gestion des politiques manuelles a rendu difficile d’adapter la solution à l’environnement en évolution rapide d’Andelyn.
En fin de compte, ils ont décidé de faire pivoter la solution de micro-syntonisation basée sur l’identité d’Elisity, leur permettant d’appliquer rapidement les politiques d’accès les moins priviaires sans nécessiter de modifications matérielles ni de refonte de réseau.
Regardez la rediffusion de l’étude de cas virtuelle
Écoutez Bryan Holmes, vice-président des technologies de l’information chez Andelyn Biosciences, et Pete Doolittle, chef de la clientèle, Elisity pour découvrir comment une approche moderne de la microsegmentation accélère l’adoption de la fiducie zéro depuis des années.
Bryan partage leur parcours du déploiement initial à la gestion de 2 700 politiques de sécurité active, toutes sans perturber les opérations ni nécessitant de nouvelles configurations matérielles ou réseau.
Regardez maintenant pour apprendre:
- Stratégies pratiques pour la mise en œuvre de la microsegmentation dans les environnements informatiques et OT sans perturber les opérations de fabrication et de recherche pharmaceutiques critiques.
- Comment accélérer Zero Trust Initiatives en tirant parti des politiques de sécurité basées sur l’identité qui protègent la propriété intellectuelle, d’assurer la conformité réglementaire et de sécuriser les données d’essai cliniques.
- Comment obtenir des informations réelles sur la mise à l’échelle de la preuve de concept initiale au déploiement à l’échelle de l’entreprise à l’aide de la découverte automatisée, de l’élisité IdentityGraph ™ et de l’application dynamique des politiques.
Regardez l’étude de cas complète ici
Le défi: sécuriser un environnement complexe et à enjeux élevé
L’industrie pharmaceutique est confrontée à des défis de sécurité uniques. Les installations de recherche et de fabrication abritent la propriété intellectuelle critique et doivent se conformer aux exigences réglementaires strictes, notamment le NIST 800-207 et la CEI 62443. À Andelyn, les chefs de sécurité étaient de plus en plus préoccupés par les risques posés par une architecture de réseau plat, où les utilisateurs, les appareils et les charges de travail partageaient les mêmes infrastructures.
Malgré les défenses traditionnelles du périmètre, cette structure a laissé Andelyn vulnérable à l’accès non autorisé et au mouvement latéral. L’équipe de sécurité a fait face à plusieurs défis clés:
- Manque de visibilité complète dans tous les appareils connectés, y compris l’IoT non géré et les actifs OT.
- La nécessité de segmenter sans perturber les opérations dans des environnements de recherche très sensibles.
- Pressions de conformité nécessitant des contrôles d’accès à grains fins sans augmenter les frais généraux administratifs.
Bryan Holmes, vice-président de celui-ci chez Andelyn Biosciences, savait que les modèles de segmentation traditionnels ne fonctionneraient pas. Le déploiement des solutions de contrôle d’accès au réseau (NAC) ou des VLAN de recommandation aurait nécessité des temps d’arrêt significatifs, un impact sur la recherche critique et les délais de production.
“Nous avions besoin d’une solution de microsegmentation qui pourrait fournir une visibilité immédiate, appliquer des politiques de sécurité granulaires et le faire sans nécessiter une refonte massive du réseau”, a expliqué Holmes.
L’approche d’élisité: segmentation basée sur l’identité sans complexité
Contrairement aux solutions de segmentation héritée, l’approche de l’élisité ne reposait pas sur les VLAN, les règles de pare-feu ou l’application basée sur les agents. Au lieu de cela, il applique dynamiquement les stratégies de sécurité basées sur l’identité, en utilisant l’infrastructure de commutation de réseau existante pour appliquer l’accès à moins de privilège.
Au cœur de la plate-forme d’Elisity se trouve le Elisity IdentityGraph ™, qui corrèle les métadonnées d’Active Directory, les solutions de détection et de réponse (EDR) comme CrowdStrike et les systèmes CMDB pour créer une carte en temps réel des utilisateurs, des charges de travail et des appareils. Cette visibilité permet aux organisations d’appliquer des politiques en fonction de l’identité, du comportement et des risques – plutôt que des constructions de réseaux statiques.
Pour Andelyn, cela signifiait qu’ils pouvaient réaliser une visibilité complète du réseau et mettre en œuvre la segmentation en semaines plutôt qu’en mois ou en années, sans perturbation opérationnelle.
Déploiement: de la visibilité à l’application des politiques en semaines
Le parcours de segmentation d’Andelyn a commencé par la découverte complète du réseau. La plate-forme d’Elisity a identifié passivement tous les utilisateurs, charges de travail et appareils dans les environnements informatiques et OT, y compris des actifs non gérés auparavant. En quelques jours, les équipes de sécurité avaient un inventaire complet, enrichi de métadonnées pour déterminer les actifs qui étaient fiables, inconnus ou potentiellement voyous.
Ensuite, Andelyn est passé à la modélisation et à la simulation des politiques, en utilisant le moteur de création de stratégie dynamique «sans couverture» d’Elisity. Au lieu d’appliquer des politiques immédiatement, les équipes de sécurité ont simulé des règles de segmentation pour s’assurer qu’elles ne perturberaient pas les flux de travail critiques.
Une fois validés, les politiques ont été progressivement activées – d’abord dans les environnements à risque inférieur et plus tard dans les systèmes de production. Étant donné que la plate-forme d’Elisity ne nécessite pas de reconfigurer l’infrastructure du réseau, l’application était transparente.
“Nous avons pu passer du mode de surveillance à l’activation complète des politiques en une fraction du temps à laquelle nous nous attendions”, a noté Holmes. “Et nous l’avons fait sans perturber les opérations de recherche ou de fabrication.”
Les résultats: une sécurité plus forte sans complexité supplémentaire
Avec 2 700 politiques de sécurité active maintenant en place, Andelyn a considérablement amélioré son Maturité de confiance zéro tout en garantissant le respect des réglementations de l’industrie.
En appliquant une microsegmentation basée sur l’identité, la société a:
- Empêché le mouvement latéral non autorisé, réduisant le rayon de souffle potentiel d’une brèche.
- Données de recherche pharmaceutique protégées et propriété intellectuelle des menaces d’initiés et des attaques externes.
- Les frais généraux opérationnels réduits, car les politiques de segmentation sont appliquées dynamiquement sans avoir besoin de mises à jour manuelles constantes.
- Replices de conformité rationalisées, alignement avec NIST 800-207 et IEC 62443.
Contrairement aux approches traditionnelles qui reposent sur les listes d’accès statiques ou nécessitent un matériel de segmentation dédié, la plate-forme d’Elisity s’adapte en continu à mesure que les utilisateurs, les charges de travail et les appareils se déplacent sur le réseau. Les politiques sont gérées par le cloud et mises à jour dynamiquement en fonction des informations en temps réel de l’Elisity IdentityGraph ™, garantissant que la sécurité reste efficace alors que les menaces évoluent.
The Future: Échelle de microsegmentation à travers l’entreprise
Après le succès de son déploiement initial, Andelyn élargit désormais les politiques de micro-alimentation à des sites et des cas d’utilisation supplémentaires. La capacité à appliquer l’accès à moins de privilège dynamiquement, sans nécessiter de changements de réseau majeurs, a fait de l’élisité une partie essentielle de la stratégie de sécurité de l’entreprise.
Pour d’autres organisations confrontées à des défis similaires, Holmes offre une recommandation claire:
“Commencez par la visibilité. Vous ne pouvez pas protéger ce que vous ne voyez pas. De là, concentrez-vous sur les politiques de modélisation avant l’application. La capacité de simuler les politiques d’abord a été un changement de jeu pour nous.”
La microsing est souvent considérée comme une initiative complexe et pluriannuelle qui nécessite des investissements importants et des perturbations opérationnelles. L’affaire d’Andelyn Biosciences prouve le contraire – avec la bonne approche, les organisations peuvent atteindre zéro segmentation de confiance en semaines, pas à des années.
Si votre projet de segmentation est au point mort – ou pire, jamais vraiment commencé – il y a une meilleure façon. Découvrez comment la microsegmentation basée sur l’identité peut accélérer zéro confiance dans votre organisation. [Request a Demo Here]


