Vers une adoption généralisée du Zero Trust

La transformation digitale concerne l'ensemble de la société, dont les activités dépendent de plus en plus des technologies numériques. Cela multiplie d'autant les points d'accès pour les pirates informatiques, et force les experts en cybersécurité à repenser leur stratégie.

Aujourd’hui, les données sont l’actif le plus important d’une entreprise : ses bases de données clients, ses brevets, ses informations sensibles sont digitalisées. Le rôle de la cybersécurité est d’empêcher ou de limiter les vols et pertes de données. Or ces informations, stockées dans l’entreprise ou sur le cloud, sont accessibles par un nombre croissant de terminaux – les ordinateurs d’employés, leurs smartphones, parfois par des prestataires et clients.

Il n’est pas question de limiter ce phénomène. La digitalisation des entreprises permet de dégager de nouveaux revenus, d’améliorer l’expérience client et de répondre aux demandes des utilisateurs. La digitalisation est désormais un avantage compétitif. Selon Gartner, le « business digital » réside dans la création de nouvelles chaînes de valeur et d’opportunités d’affaires auxquelles les entreprises traditionnelles ne peuvent accéder. Pour McKinsey, le digital n’est pas une chose ou une technologie, mais plutôt une nouvelle façon d’agir, une autre attitude.

Fondamentalement, Uber n’a rien inventé. C’est une société qui a pris acte de l’adoption généralisée du smartphone pour permettre, avec assez peu d’actifs capitalistiques, humains ou physiques, de mettre en relation ses utilisateurs avec des taxis dans le monde entier, en quelques clics. L’expérience de voyage reste fondamentalement la même qu’en commandant un taxi soi-même, mais elle est simplifiée. La plateforme Uber met en relation les gens avec les conducteurs grâce aux technologies numériques.

Le potentiel de la digitalisation est énorme, mais c’est une épée à double tranchant. Allianz considère ainsi que l’interruption du fonctionnement des entreprise à cause des cyberattaques est la plus grande menace qui soit. Cela soulève d’important défis pour les équipes de cybersécurité.

Un paysage de menaces éclaté

La plupart des employés d’une entreprise ont deux terminaux connectés ou plus. De nombreux téléphones et ordinateurs sont volés dans les aéroports, et les données qui s’y trouvent – si elles ne sont pas chiffrées – sont volées avec. Forrester estime que toutes les brèches de données viennent de l’intérieur, parce qu’elles reposent sur la coopération – le plus souvent involontaire – d’un employé.

De plus, l’entreprise digitale n’a pas de périmètre, comme nous l’avons vu avec Uber : elle s’étend jusqu’à ses utilisateurs, ses employés et ses partenaires. En même temps, 22% des entreprises disent manquer du personnel nécessaire pour sécuriser leur infrastructure informatique.

Et les besoins se font sentir. On estime qu’une attaque par malware avait lieu toutes les 14 secondes en 2019, et que ce chiffre augmentera à une attaque toutes les 11 seconde sen 2021. Lorsqu’une clé USB inconnue est retrouvée – avec potentiellement un virus dessus –, les employés la branchent et exécutent son code dans 45% des cas, ce qui en fait d’une des sources d’infection les plus communes. Il faut y ajouter le phishing, qui est la porte d’entrée pour 90% des attaques réussies, et le social engineering.

L’humain est le maillon faible dans la chaîne de cybersécurité, et les experts doivent l’avoir en tête lorsqu’ils conçoivent des systèmes de sécurité. Ce système doit permettre aux utilisateurs – clients, partenaires ou employés – d’accéder à certaines parties de l’infrastructure informatique, mais pas d’autres ; de se connecter depuis l’enceinte de l’entreprise ou depuis l’extérieur ; et de protéger les données où qu’elles soient.

Les paradigmes de sécurité traditionnels se basent sur l’opposition entre l’intérieur et l’extérieur de l’entreprise et sont basées sur l’idée d’un périmètre de sécurité avec une frontière sécurisée au sein de laquelle la confiance règne. Cela n’est tout simplement plus réaliste.

C’est pourquoi le modèle Zero trust est plébiscité par les entreprises et fait ses preuves. Ce nouveau paradigme de sécurité, basé sur l’adage « ne jamais faire confiance, toujours vérifier », traite tous les utilisateurs avec suspicion, ne leur offrant que les droits dont ils ont réellement besoin après authentification. Ce modèle, à la fois plus souple et plus sécurisé, est conçu pour accompagner les entreprises dans leur transformation digitale.