5min. read

Si le terme « Zero Trust » est souvent mal compris et mal employé, il désigne une approche qui contribue réellement à réduire les cyber-risques systémiques et à renforcer la résilience.

Dans ce contexte, la migration vers le cloud offre une nouvelle chance aux architectures Zero Trust.

Zero Trust : définition et idées reçues

D’après certains fournisseurs, le Zero Trust concerne avant tout la gestion des identités et des accès. Autrement dit, la façon dont les entreprises permettent aux utilisateurs autorisés d’accéder à leurs ressources. Bien qu’il s’agisse effectivement d’un volet de ce concept, la gestion IAM fait partie d’une stratégie plus large qui tient compte de toutes les surfaces d’attaque de l’entreprise, des identités à l’infrastructure, en passant par les produits, les processus et la supply chain.

Tous les professionnels de la sécurité vous le diront : la confiance sur les réseaux et les architectures technologiques a toujours été une mauvaise idée. Un réseau de confiance connecté à votre réseau de data center peut très bien être compromis. Terminal piraté, utilisateur autorisé devenu menace interne, processus OS détourné, fichier de confiance malveillant... les exemples sont légion.

Par conséquent, le Zero Trust offre une approche stratégique pour éliminer toute confiance implicite entre des entités technologiques. Si votre entreprise était une boîte de nuit, ce modèle préconiserait de déployer des videurs non seulement à l’entrée, mais aussi à l’intérieur et dans le garage, sans oublier d’embaucher des gardes du corps pour escorter vos clients hors de l’établissement. Mais estce vraiment si simple ? Le Zero Trust n’est-il qu’un modèle pour une sécurité renforcée ?

Honnêtement, la question n’a jamais été de savoir si les entreprises devraient adopter le Zero Trust, mais plutôt pourquoi cela fonctionnerait cette fois-ci, et par où commencer compte tenu des coûts importants et des traditionnelles réticences face au changement.

Le Zero Trust contre les cygnes noirs

D’après mon expérience, les entreprises qui ont réussi leur adoption du Zero Trust ont su centrer leur programme sur la gestion des risques avant tout. Ayant travaillé pendant plus de dix ans pour un grand établissement de services financiers, je connais très bien ce sujet. Et je sais que, parfois, de petits évènements peuvent saboter toute une organisation, voire tout un secteur.

Récemment, ces évènements systémiques, ou cygnes noirs, sont aussi devenus très courants dans l’univers de la cybersécurité. Les ransomwares et les incidents sur la supply chain représentent sans doute les symptômes les plus visibles des risques qui font régulièrement l’actualité. Ces risques font également un excellent point d’ancrage pour votre programme Zero Trust.

Quant aux causes racines de ces risques technologiques systémiques, elles sont diverses et variées, ou pire encore, multifacettes :

  • Points de défaillance uniques.Ils comprennent les composants d’infrastructure clé qui cimentent votre stack technologique. Une infrastructure DNS, WebSSO ou Active Directory non sécurisée ou mal conçue peut vite devenir votre pire cauchemar
  • Monocultures logicielles obsolètes. Pensez aux systèmes d’exploitation, aux firmwares et aux logiciels qui affichent un excellent taux d’adoption dans votre organisation, mais dont les correctifs ne sont pas régulièrement installés. Une seule vulnérabilité peut vous exposer à des ransomwares ou des risques de sabotage catastrophiques.
  • Effet des réseaux « à plat ». Cela concerne les entreprises sans une bonne segmentation ni des contrôles réseau adaptés à travers leurs ressources IT (en particulier les appareils non gérés), OT et IoT. Ainsi, elles facilitent la tâche des attaquants, virus et ransomwares.

Pyramide Zero Trust

En règle générale, les entreprises traditionnelles exposées à une combinaison de ces risques systémiques fondent leur programme Zero Trust s