Repenser le zero trust au profit de la confiance numérique

Le zero trust n'est pas une technologie en soi, mais plutôt un postulat : la confiance numérique dans l'identité d'une personne ou d'un appareil n'est jamais implicite, et doit par conséquent toujours être vérifiée. 

Le concept d'architecture dite zero trust est devenu, pour beaucoup d'entreprises, la clé face aux problèmes quotidiens d'authentification et d'accès. Mais il existe une certaine confusion quant à sa signification réelle et ses enjeux. Car le zero trust n’est pas une technologie en soi, mais plutôt un postulat : la confiance numérique dans l’identité d’une personne ou d’un appareil n'est jamais implicite, et doit par conséquent toujours être vérifiée. 

Aujourd’hui, les entreprises ne peuvent plus se contenter d’une simple preuve d’identité. En effet, des milliers d'utilisateurs et de dispositifs entrent au quotidien en interaction avec l'entreprise, et peuvent mettre en péril la sécurité des données qu’elle détient. Celles-ci se trouvent alors confrontées à un problème récurrent : la nécessité de vérifier et d'authentifier individuellement chaque appareil, utilisateur ou l'application interagissant avec le réseau de l'organisation afin d'en garantir la légitimité… Si le zero trust reste essentiel, il ne s'agit que d’une première étape visant à établir un écosystème de sécurité et de défense profond basé plus largement sur ce qu’on appelle la confiance numérique.

Atteindre la confiance numérique grâce au Zero Trust

Les incidents liés aux cyberattaques ont doublé entre 2020 et 2021 en France selon l’observatoire des signalements d'incidents de sécurité des SI. La confiance numérique, et la maîtrise des risques qui en découlent, constitue un principe clé qui a pour but de faire de l’espace numérique mondial un écosystème plus sain. En lien avec ce principe, l’un des objectifs affiché de l’ANSSI est d’ailleurs promouvoir “la création d'un écosystème de confiance pérenne et lisible pour les acteurs économiques”. Sujet central de la gouvernance, la confiance numérique est essentielle à la croissance économique de n’importe quelle entreprise. Or, celle-ci est constamment menacée. Et lorsque les entreprises subissent des failles de cybersécurité leurs utilisateurs se demandent toujours si celle-ci sera à nouveau digne de confiance.

Du point de vue des responsables de la sécurité et des RSSI, cela signifie que nous devons établir et maintenir une authentification forte avec toutes les entités qui composent l'entreprise et interagissent avec elle. Alors que de nombreuses organisations se sont concentrées sur des initiatives de zero trust au cours des dernières années, beaucoup ont reconnu que la confiance dans les humains et les machines est effectivement une étape fondamentale dans la sécurisation de l'entreprise, mais également complexe à mettre en place selon la maturité de l’entreprise. 

La cryptographie au cœur de la sécurisation des identités 

Pour simplifier cette démarche, les DSI s'appuient notamment sur les dernières technologies de cryptographie. Celles-ci sont particulièrement efficaces lorsqu’il s’agit de gérer et d’analyser des milliers d’identités différentes, qui se trouvent aujourd’hui démultipliées par l’utilisation de logiciels et appareils. Une récente étude de CyberArk a d'ailleurs révélé que ces identités étaient 45 fois plus nombreuses que les identités des utilisateurs eux-mêmes !

La cryptographie permet de garantir un accès sécurisé aux ressources informatiques dans les environnements hybrides, comme le télétravail qui a fortement explosé ces deux dernières années. Elle facilite également la gestion de volumes massifs de certificats, qui peut s'avérer un défi pour les entreprises. Nombreuses sont celles qui manient encore leurs certificats numériques grâce à de simples fichiers Excel... Ces comportements peuvent mener à des vulnérabilités importantes - le plus courant étant l’oubli de renouvellement de certificat - laissant la porte ouverte à de potentielles cybermenaces. 

La sécurisation des identités doit donc idéalement inclure une solution unique et centralisée dédiée aux RSSI et DSI. Cette approche, 100% automatisée, inclut la gestion du cycle de vie des certificats (CLM) et garantit que les certificats seront renouvelés ou révoqués au bon moment, évitant ainsi des déconvenues…

En tant que problématique de gouvernance, la confiance numérique doit donc être développée à grande échelle pour assurer in fine la sécurisation des espaces en ligne, et créer un cercle vertueux pour favoriser l’innovation. Préserver la confidentialité, l’intégrité et la disponibilité des systèmes informatiques et par extension des utilisateurs à travers la création d’indices de confiance publics comme le CyberScore par exemple, pourrait devenir l'enjeu N°1 des organisations pour les prochaines années !