Cybersécurité : les freins (et les solutions) au développement du Zero Trust
Une bonne organisation de son système d'information est une première pierre pour bien assurer sa défense. Et depuis sa théorisation par le doctorant Stephen Paul Marsh au sein de l'Université de Stirling, une nouvelle architecture IT a le vent en poupe, elle porte le nom de Zero Trust. Son créateur l'a nommée ainsi car elle se base sur un principe simple : ne pas faire confiance. Chaque machine et utilisateur doit montrer patte blanche à chacune de ses connexions au réseau informatique de son entreprise ou de son organisation étatique. Mais en dehors du secteur financier, le Zero Trust a du mal à s'imposer en raison de plusieurs obstacles.
La résistance au changement
Pour tout changement lié à la structure IT et à la cybersécurité, l'aval des équipes opérant dans ces deux domaines est nécessaire. Problème, le Zero Trust ne possède pas forcément une bonne image auprès des DSI ou des RSSI. Résultat, ils arrivent parfois qu'ils fassent cause commune pour faire barrage à l'installation du Zero Trust au sein de leur entreprise. Mais pourquoi une telle résistance ? Stephane Lenco, CISO de Thales, explique : "C'est une résistance culturelle, car le Zero Trust remet en question les modèles traditionnels de confiance. Il faut lutter contre le syndrome 'on a toujours fait ainsi, cela va coûter plus cher, freiner l'agilité, etc.' souvent infondé et s'assurer que les changements structurels d'accès aux données et aux applications sont compris, planifiés, maîtrisés, acceptés."
La solution : Pour contourner ce premier écueil sans encombre, il faut insister auprès des collaborateurs les plus sceptiques sur le fait que le Zero Trust va dans le sens de l'histoire. Les entreprises sont toutes en train d'effectuer un move to cloud. Et dans ce nouvel environnement que l'on croit sécurisé, les cybercriminels commencent à lancer des attaques. Le Zero Trust apporte un vrai plus en termes de protection. Et il est simple à installer dans le cloud, donc si votre entreprise a déjà opté pour ce modèle, le passage au Zero Trust se fera plus facilement.
L'insouciance des dirigeants d'entreprise ne possédant pas d'assets critiques
Pour certains patrons, le fait que leur entreprise n'évolue pas dans un secteur sensible et/ou n'a pas dans sa base de données d'informations sensibles, les dispenserait de passer au Zero Trust. Hervé Liotaud, vice-président southern Europe d'Illumio, précise : "Les sociétés plus matures en sécurité sont celles qui possèdent des assets critiques. Si elles sont attaquées, l'Etat est touché. Elles ont donc des audits de sécurité réguliers et très forts."
La solution : Tout d'abord, rappelez à votre board qu'une bonne sécurité permet d'éviter de mauvaises surprises. Ensuite, dites-leur que toutes les entreprises sont des cibles potentielles, et que les cybercriminels agissent en agents économiques rationnels. Herve Liotaud poursuit : "Les attaquants vont au plus simple, ils ciblent des structures moins bien équipées. Par exemple, ils vont préférer pirater 10 entreprises mal protégées et demander 100 000 euros à chaque fois, plutôt que de cibler une structure ayant une forte défense et pouvant leur rapporter 1 million d'euros. C'est ce qui est arrivé au secteur food, ses membres ont subi des attaques et depuis ils ne lésinent pas sur leurs investissements en termes de cybersécurité."
Le coût du passage au Zero Trust
Si vous avez réussi à obtenir l'appui de votre DSI et RSSI, un autre membre du comité de direction reste à convaincre, votre directeur administratif et financier. Les possibles surcoûts engendrés par l'adoption du Zero Trust risquent de le faire basculer dans l'opposition. Oui, le Zero Trust peut avoir un coût même si son installation se fait dans une entreprise mature en termes de cybersécurité.
La solution : Pour commencer, ne niez pas le fait que de l'argent va devoir être mis sur la table mais contrebalancez avec les bienfaits que le passage au Zero Trust apportera à l'entreprise. Stephane Lenco affirme : "S'il est abordé comme un 'projet en plus', indéniablement il y a des investissements technologiques, logiciels, humains. S'il est conçu comme une stratégie et donc phasé avec les remplacements technologiques, ou profitant de move to cloud, il est beaucoup plus abordable. Par ailleurs, le gain en limitation d'impact et en résilience est chiffrable (par exemple en limitant le coût d'assurance cyber, ndlr). L'entreprise pourra aussi élargir potentiellement sa clientèle vers des clients qui sélectionnent leurs fournisseurs avec un critère de maturité cyber. De la même manière, le coût opérationnel récurrent peut être tout à fait gérable s'il est intégré dans le design de la solution ou du système comme une performance normale."
Impossible de passer au Zero Trust en n'ayant pas un minimum de maturité cyber
Une fois le comité de direction convaincu, vous allez pouvoir lancer l'adoption du Zero Trust. Deux scénarios sont possibles. Premier scénario, votre entreprise est mature en termes de cybersécurité, vous faites des audits régulièrement et vous avez un RSSI. Vous possédez plusieurs logiciels de cybersécurité comme un EDR, un XDR et vous avez un SOC interne ou alors managé. De plus, votre société a mis en place tout un process de sensibilisation à la cybersécurité. Vous êtes prêt pour le Zero Trust ! Mais vous aimeriez avoir un guide lors de cette traversée vers le Zero Trust.
Deuxième scénario, votre entreprise a fait le minimum en termes de cybersécurité, un anti-virus, un firewall. Votre DSI est aussi RSSI, et vous avez peut-être un XDR mais par contre aucun SOC à l'horizon. C'est un problème, car sans un niveau de maturité cyber élevé, vous n'aurez pas les bonnes bases pour vous lancer de manière sereine dans l'aventure de Zero Trust.
La solution : Dans le cas du premier scénario, vous pouvez trouver de l'aide auprès de vos providers de cybersécurité habituels mais il ne faudra pas totalement se reposer sur eux, explique Stéphane Lenco : "Oui, il est tout à fait possible de se faire aider. Les cabinets-conseil et les gros fournisseurs de solutions font généralement des offres en ce sens. Cependant, le fondement de Zero Trust reste de porter la volonté, la stratégie, et de l'adapter à son métier, à ses contraintes. Ces points doivent être totalement appropriés par le porteur du dossier Zero Trust de l'entreprise et ne devraient pas être délégués… Il faut rester capitaine de son navire ou pilote de son avion ! Pour filer cette métaphore : le rôle du capitaine ou du pilote est de connaitre sa destination, dessiner sa route et assurer qu'il fait tous les bons choix devant les éléments et incidents le long de la route… et heureux qui comme Ulysse a fait un beau voyage vers… le Zero Trust !"
Pour ce qui est du deuxième scénario, le chemin sera plus long pour atteindre le Zero Trust. Déjà, vous devrez passer par la case audit de sécurité, pour avoir un compte-rendu complet de vos faiblesses. Ensuite, une phase de recrutement sera obligatoire pour se doter d'un RSSI. Pour le reste, si vous ne souhaitez pas ou ne pouvez pas recruter tout le personnel nécessaire pour entretenir des logiciels cybersécurité et un SOC, pas de panique. Vous pouvez opter pour le service managé de ces logiciels et du SOC également managé. Ces offres existent chez un grand nombre de providers de cybersécurité, vous pouvez même demander à votre ESN de le faire si elle est en capable.
La peur de brusquer les employés
L'application du Zero Trust a des conséquences sur le mode de travail des employés. Ils vont devoir montrer patte blanche à chaque connexion. Ils n'auront plus la même agilité en termes de matériel, ne pourront plus swicher d'un device à l'autre sans au préalable passer par une procédure de connexion au réseau entreprise. Concrètement, l'ordinateur personnel va devoir redevenir personnel ou bien être déclaré auprès de l'IT. Vient aussi la question de la façon dont l'employé devra se connecter via un token. Faudra-t-il mettre en place un système de ticket ? Une reconnaissance faciale voire digitale ? Mettre un mot de passe ? Tous ces changements vont toucher le salarié dans son habitus.
La solution : Vous devrez mettre en place des process pour simplifier au maximum la tâche aux employés. Il faudra aussi organiser des formations pédagogiques pour leur expliquer au mieux le nouveau système. Hervé Liotaud précise : "L'employé est là pour faire son job, pas pour être un expert en sécurité. Néanmoins, il sera impacté mais il ne faut pas que cela soit de manière négative."