Savez-vous vraiment ce que Zero Trust signifie ?

Grâce à un marketing acharné, le Zero Trust est en passe de devenir la nouvelle expression à la mode. L'heure est venue, professionnels de la sécurité, de clarifier ce terme.

Une fois pour toutes : le Zero Trust (en français : zéro confiance) n’est pas un produit, c’est une stratégie de sécurité. En effet, un outil ou un service puisse être une partie de la stratégie Zero Trust, mais seul il ne peut satisfaire l’ensemble des exigences du Zero Trust et transformer votre entreprise.

Pourquoi tout cet engouement ?

Zero Trust. Il est étonnant de voir tout ce que le marketing a réussi à faire avec un terme aussi rébarbatif. Dans presque tous les contextes en dehors de la sécurité, le Zero Trust n’a que quelques, voire aucune, connotations positives. « Il n’y a aucune, je répète, aucune confiance entre nous » n’est pas une phrase que la plupart des gens aiment entendre. Elle est offensive, si ce n’est agressive.

Nous ne croyons personne et c’est tout. Quand dans le milieu professionnel nous commençons à parler du Zero Trust, les employés se sentent ciblés, comme s’ils étaient surveillés. Depuis que la confiance est une partie prenante de l’écosystème du travail (un terme botanique détourné par le langage des affaires, soit dit en passant), la confusion est compréhensible.

Pourquoi ? Parce que pour la plupart des gens, y compris pour les responsables informatiques, la confiance est importante. Et nous aimons montrer où nous plaçons cette confiance. Pour preuve, les Pères Fondateurs Américains l’ont carrément déclaré sur leur monnaie : « In God we trust » (trad : en Dieu nous croyons). Nous avons confiance en nos époux-ses, partenaires, famille et amis proches. Il n’est donc pas surprenant de voir que les marketeurs se plient en quatre pour créer un battage médiatique suffisant afin de capter un public non technique avec un terme comme « Zero Trust ».

Le dernier d’une longue lignée de victimes

Toutes les industries possèdent des termes et un jargon propres à leur domaine d’expertise spécifique. Ils sont souvent détournés par des penseurs qui n’ont qu’une vision d’ensemble du terme. Donc la prochaine fois que vous croiserez quelqu’un promouvant une solution « Zero Trust », expliquez-leur ce que ce terme signifie réellement et comment il s’intègre dans votre infrastructure informatique. S’ils commencent en disant « notre produit Zero Trust… » alors ils n’auront rien de plus à apporter à votre stratégie de sécurité. Vous pourrez les remercier et vous passer d’eux.

Donc, qu’est-ce qu’est réellement le Zero Trust ?

Comme mentionné plus haut, il s’agit d’un terme de sécurité. C’est une approche visant à protéger les équipements numériques contre toute forme d’attaque. Il ne s’agit pas de n’accorder aucune confiance à qui que ce soit, mais il est question de ne pas présumer d’une confiance automatique basée sur des facteurs tels que : la localisation (interne ou externe au réseau de l’entreprise), un utilisateur ou un matériel. Le Zero Trust n’a pas la même signification. C’est une stratégie, un état d’esprit, un système de croyances – peu importe la manière dont vous le qualifiez tant que vous comprenez que son objectif principal est de prévenir des menaces de sécurité. Il s’agit d’une stratégie évolutive visant à combattre des menaces en évolution.

Pourquoi la nécessité d’une nouvelle approche ?

L’industrie informatique connait des changements sismiques. L’évolution liée au cloud, au travail à distance, aux politiques de « bring your own device » (BYOD) et l’Internet des Objets (IoT) signifie qu’il n’est plus aussi efficace de simplement protéger le périmètre du réseau et de supposer que toute activité est digne de confiance. Le mantra du Zero Trust « ne jamais faire confiance, toujours vérifier » a un attrait évident pour les professionnels de la sécurité. Le Zero Trust peut, pour une entreprise, réduire les risques de piratage, d’erreur humaine et de fantômes informatiques, pour n’en citer que quelques-uns. Puisque la sécurité à 100% est une illusion, lorsqu’une équipe informatique met en place une politique de Zero Trust, ils peuvent conserver les solutions de sécurité existantes, comme celles consistant à appliquer les moindres privilèges et les contrôles d’accès basés sur les rôles. Le Zero Trust complète ces solutions « traditionnelles » en mettant l’accent sur les solutions automatisées qui reconnaissent les écarts par rapport aux activités normales, même lorsque les utilisateurs, les dispositifs, les réseaux et les charges de travail (en termes de trafic de données) sont correctement surveillés.

Les avantages de « toujours vérifier »

Imaginons qu’un utilisateur vérifié se connecte sur le réseau grâce à un ordinateur portable appartenant à l’entreprise en ignorant qu’il a été compromis par un virus à cause d’une tierce partie. L’utilisateur n’a aucun problème d’accès, mais le volume de données est largement supérieur à ce qu’il devrait être. Le système informatique va alors automatiquement révoquer l’accès, empêchant ainsi les dégâts, et va donner la possibilité au service informatique de vérifier le matériel avant de le remettre sur le réseau.

Zero Trust peut également prévenir des menace internes, notamment celles liées aux employés malveillants. Cette menace considérée comme la bête noir du cybermonde, est particulièrement difficile à identifier il est donc plus compliqué de s’en protéger en utilisant l’ancienne approche « fais confiance, puis vérifie » de la sécurité basée sur le périmètre.

Ce que le Zero Trust n’est pas

Pour résumer, nous ne saurions que trop insister sur ce que le Zero Trust n’est pas :

  •  Le Zero Trust n’est pas un produit. Il ne s’agit pas d’une solution disant si un utilisateur peut accéder au non au réseau. Mais mettre en place le Zero Trust signifie demander l’autorisation et l’authentification de chaque session utilisateur.
  •  Le Zero Trust n’est pas une solution prête à l’emploi. Sa mise en place variera en fonction des entreprises, de leur infrastructure informatique et des problèmes spécifiques de protection des données.
  •  Le Zero Trust n’est pas une façon sournoise d’espionner les employées. Il s'agit plutôt d'une stratégie en constante évolution visant à empêcher les pirates et les employés malveillants de profiter des stratégies de sécurité antérieures qui reposaient sur la confiance accordée aux appareils et aux utilisateurs au sein du réseau.
  •  Le Zero Trust n’est pas QUE pour les grandes entreprises. Les entreprises de toutes tailles peuvent bénéficier de cette stratégie de sécurité.

Protéger les entreprises modernes grâce aux principes du Zero Trust

Bien que Forrester (merci à l’un de leur ancien analyste senior pour le terme Zero Trust, inventé en 2009), Gartner et plusieurs autres compagnies informatiques aient des visions différentes de ce qu’est le Zero Trust, cela n’a pas d’importance tant que votre entreprise met en place une stratégie de sécurité globale dans le but de compléter votre infrastructure informatique. Les données ont de la valeur, et les entreprises doivent prendre toute sorte de mesure pour les protéger.

Ne soyez donc pas découragé par le terme froid et sans cœur de « Zero Trust ». Au lieu de cela, essayez d’en faire un point clé de votre stratégie d’entreprise. Pensez aux futurs résultats dont vous pourrez tirer parti en continuant de réduire vos risques et de protéger vos données.