Quand le concept Zero Trust s'applique dans la sphère privée

La méthode dite Zero Trust offre un cadre ultra-sécurisé à l'ensemble des entreprises qui l'adoptent. En période de crise et d'accroissement du télétravail comme des cyber-attaques, il peut s'avérer utile de transférer ce concept au sein de votre foyer. Explications.

Savez-vous ce qu’est le Zero Trust ? Ce modèle de sécurité repose sur le principe selon lequel aucun utilisateur, dans le monde de l’entreprise, ne serait digne de confiance sur un réseau. En d’autres termes, le concept Zero Trust ne permet pas à des utilisateurs d’accéder à des ressources avant que leur légitimité et leur autorisation n’aient été vérifiées. Le modèle met en place un accès qui repose sur des droits minimum. Maximaliste dans ses précautions, il restreint de facto l’accès des utilisateurs ou des groupes d’utilisateurs aux ressources dont ces derniers ont strictement besoin.

Un concept qui a fait ses preuves dans la sphère professionnelle

Le Zero Trust est de plus en plus la doctrine sur laquelle les organisations fondent leur approche des identités. Très concrètement, celle-ci repose sur des règles strictes de sécurité, loin de la confiance aveugle que l’on peut parfois accorder à une personne que l’on croit connaître. Les entreprises qui appliquent le Zero Trust sont mises en demeure de confirmer en permanence que les utilisateurs de leurs réseaux et applications sont bel et bien ceux qu’ils prétendent être, et que leur accès est toujours sûr.

Ce concept a récemment été étendu au sein des organisations. Sous l’effet de la crise sanitaire du coronavirus, la généralisation du télétravail a en effet contribué à accélérer le brouillage entre sphère professionnelle et sphère privée. L’essor d’un mode de travail reposant sur la souplesse horaire, le nomadisme au sein même de l’habitat (voire le travail en résidence secondaire) a aboli un peu plus les frontières entre l’intime et le public, faisant encourir certains risques à notre foyer tout comme à notre entreprise.

Un contexte d’attaques

Avons-nous collectivement baissé la garde ? Peut-être. Et les cybercriminels se sont engouffré dans la brèche. Les multiples rapports qui ont été publiés à la fin de l’année 2020 montrent combien les menaces de phishing ont augmenté ces derniers temps. En moyenne, nos entreprises subissent désormais 1185 attaques chaque mois. Rien qu’aux Etats-Unis, près de la moitié des travailleurs ont déclaré avoir reçu des courriels, des textes ou des appels téléphoniques de phising ciblés au cours des six premiers mois de travail à distance (données SailPoint).

Il est ici clair que les pirates informatiques profitent de la crise mondiale et de la réorganisation qu’elle peut générer pour pénétrer certaines failles. Les employés qui cliquent sur les cyber-liens téléchargent sans en avoir conscience un logiciel qui va bientôt infecter leur ordinateur et fournir des informations d’identification à des acteurs malveillants. Ainsi, les cybercriminels peuvent librement accéder à d’importants actifs et données de l’entreprise.

Adopter le Zero Trust chez soi

Dans un tel contexte, redoubler de vigilance en s’inspirant du cadre du Zero trust peut être une solution. La méthode la plus efficace est celle qui consistera à remettre en question tous les éléments que vous découvrez – jusqu’à l’identité annoncée de la personne qui vous appelle ou qui vous adresse un mail ou un SMS, que vous la connaissiez ou pas. Soyez à l’affût du moindre signe révélateur, et particulièrement d’une demande précipitée émanant de votre interlocuteur. Le simple fait que quelqu’un vous intime l’ordre de vous presser, presque sans réfléchir, doit constituer un signal d’alerte, surtout si l’objet d’une telle action concerne des données sensibles ou financières. D’un point de vue général, lorsque votre banque ou votre entreprise vous demande d’agir, c’est rarement – voire jamais – de manière précipitée…

L’une des règles d’airain que vous pouvez appliquer est celle-ci : conservez une vigilance maximale, en toute circonstance et ce quel que soit l’action que vous effectuez. Donner son mot de passe à des membres de sa famille ou à ses amis n’est par exemple pas anodin : cela peut conduire à la compromission de plusieurs systèmes. D’autant que nous avons tous plusieurs casquettes au sein de nos foyers : professionnel, parent, enseignant des devoirs à ses enfants, soignant… Ceci facilite le partage d’appareils et la porosité entre les sphères familiale et professionnelle. Quant au fait d’utiliser parfois le même mot de passe pour plusieurs applications (Outlook et Spotify par exemple), il n’est pas non plus sans danger dans la mesure où il peut mener directement un pirate au cœur du système de données de votre employeur.

Zero Trust : plus qu’un concept, un état d’esprit

Que ferions-nous concrètement si nous appliquions la méthode Zero Trust ? Nous mettrions tout d’abord fin au partage des mots de passe et des appareils. Nous considérerions tout le monde « comme un étranger », y-compris et surtout lorsque nous engageons notre organisation. L’une des manières les plus efficaces de mettre en œuvre cette approche consistera à posséder un gestionnaire de mots de passe et de créer plusieurs comptes familiaux pour les applications que nous utilisons le plus (Netflix, Spotify…). Nous pourrions également demander à notre employeur de racheter notre ancien ordinateur professionnel afin d’obtenir un ordinateur familial destiné à l’usage privé. Vous l’aurez compris : le Zero Trust relève d’un véritable mode de vie, et doit être articulé à la confiance zéro. Ces deux concepts combinés – tout remettre en question et considérer tout le monde comme un étranger – offrent in fine un moyen simple d’appliquer une méthode de sécurité maximale.

Il est ici important de noter que le Zero Trust relève d’une façon de penser, pour ne pas dire d’une approche culturelle. Ce concept global consiste à vous mettre au défi de réfléchir différemment à la manière dont vous allez réagir face à un appel ou à un e-mail inconnu, ceci dans le cadre de votre foyer.

Bien qu’elles semblent rigides, ces règles relèvent d’ores et déjà d’une culture que tout-un-chacun a déjà amorcé chez soi. Une sonnette à la porte d’entrée, un système d’alarme, voire un chien de garde constituent les parfaites illustrations qui ont été mises en place dans nos sociétés pour nous prévenir dès lors que notre domicile est approché par une personne qui lui est extérieure. Nos amis, nos parents, à fortiori nos connaissances frappent à notre porte avant de pénétrer dans notre appartement ou notre maison. À bien y réfléchir, cette approche doit aussi être adoptée dès lors que l’enjeu consiste à se connecter à un réseau informatique.