Zero Trust : un idéal de cybersécurité toujours difficile à concrétiser

Le Zero Trust s'impose mais reste coûteux à déployer. Pour avancer, mieux vaut y aller par étapes, en combinant digitalisation, solutions modulaires et formation des collaborateurs.

La transition semble lente mais progressivement le Zero Trust s’impose comme un incontournable des stratégies de sécurité. Les grandes entreprises l’ont bien compris, c’est désormais au tour des plus petites de l’envisager sérieusement. Si des solutions existent pour séquencer son implémentation, le Zero Trust est avant tout une occasion de faire évoluer sa vision de la sécurité, autant sur le plan technologique qu’humain.

L’instabilité économique, maîtresse des investissements

Cela n’aura échappé à personne, le contexte international, aussi incertain qu’inquiétant, crée un climat d’incertitude pesant pour les entreprises. Quel avenir à court/moyen terme ? Quels investissements sont à prioriser ? Un terrain mouvant sur lequel se joue aussi des enjeux de sécurité de plus en plus prégnants. La complexité des attaques ainsi que leur régularité suivent une courbe ascendante et toutes les entreprises sont concernées. Les plus grandes structures ne sont plus les seules visées, même celles comptant moins de 100 salariés le sont également.

On le comprend, l’investissement dans une stratégie de sécurité à la hauteur des enjeux semble incontournable. De plus en plus plébiscité, le Zero Trust est probablement l’une des plus pertinentes mais sa pleine adoption se heurte encore et toujours à son coût élevé pour les entreprises. Entre le choix des bonnes solutions, souvent chères, et la formation continue des collaborateurs sur ces sujets, les chantiers semblent nombreux et la marge de manœuvre faible. Pour autant, si la question financière est centrale, n’oublions pas que négliger sa sécurité revient à s’exposer à des risques graves : de l’immobilisation totale ou partielle de ses activités aux demandes de rançons, pour ne citer que quelques exemples. En fin de compte, détourner le regard au moment où les risques cyber sont grands serait insensé.

Séquencer le Zero Trust, une formule idéale pour commencer ?

A l’exception des plus grandes structures qui ont la capacité de dégager un budget conséquent en la matière, la majorité d’entre elles va devoir miser sur une application différée du Zero Trust. De fait, et si nous devons regarder du côté des modèles à déployer, il est compliqué de d’opter d’emblée pour le SASE (Secure Access Service Edge) qui est un bloc unifié de solutions. Une formule « tout en un » en somme. Il offre une architecture unique qui fusionne les fonctions réseau et sécurité pour permettre un accès sécurisé aux applications et systèmes de l’entreprise, quel que soit l’emplacement des utilisateurs et des appareils.

Le SASE est véritablement l’approche idéale pour déployer le Zero Trust mais en attendant de pouvoir l’appliquer dans son entièreté, les entreprises ont tout intérêt à procéder par étapes. En l’occurrence, le SSE (Security Service Edge) est un modèle s’inscrivant dans cette philosophie. Se concentrant sur la sécurité du réseau, il regroupe plusieurs services essentiels (firewall as a service, secure web gateway, cloud access security broker). L’avantage d’une telle approche est qu’elle est modulaire, permettant un investissement lissé dans la durée. Certes la mise en application du Zero Trust tel qu’il est imaginé prend plus de temps mais avec le SSE, des bases solides sont posées.

Pare-feu humain et digitalisation : des prérequis au Zero Trust

Toutefois, il ne sert pas à grand-chose de parler de solutions dédiées si l’infrastructure digitale d’une entreprise n’est pas prête à les accueillir. La digitalisation, contrairement à ce que l’on pourrait imaginer, est toujours en cours dans nombre d’entreprises. La refonte du système d’information ou la migration vers le cloud sont des projets d’ampleur incontournables, et conditionnent en partie la réussite du Zero Trust. Là encore, la patience est de rigueur mais il importe de ne pas retarder éternellement ces projets, au risque de fragiliser encore plus sa capacité à se protéger des intrusions.

Surtout, à la technologie doit nécessairement s’ajouter l’aspect humain. Correctement sensibilisés et formés, les collaborateurs agissent comme un véritable pare-feu avant même d’envisager une quelconque solution. La mise en place d’une culture de la sécurité en y associant les bons dispositifs de formation est primordiale pour se protéger efficacement et dans la durée. N’oublions pas que la sécurité est une notion mouvante, impliquant un effort de sensibilisation continue auprès des utilisateurs. Dans tous les cas, et même dans un contexte économique tendu, les entreprises ne pourront pas éluder entièrement l’enjeu sécuritaire ; il faudra prioriser certains projets et aller outre les réticences. Il en va de leur résilience, voire de leur survie.