L’approche Zero Trust s’ancre dans les stratégies de cyber-résilience des entreprises même si ça mise en application est complexe et nécessite du temps. Mais dans cette mise en œuvre, il est essentiel de ne jamais perdre de vue un impératif : le bien-être des salariés et la fluidité des expériences. Vers une approche « sans confiance » personnalisée ?
A l’heure où un nombre croissant d’individus évolue dans un environnement de travail hybride, les cybermenaces continuent de se développer et de cibler les télétravailleurs. Le dernier rapport d’activité de Cybermalveillance.gouv.fr cite les rançongiciels, l’hameçonnage et le piratage des comptes comme principales menaces pour les professionnels (entreprises et collectivités). La plateforme d’information et d’assistance a d’ailleurs enregistré une hausse de sa fréquentation en 2022 avec près de 3,8 millions de visiteurs, soit une hausse de 53%.
Les défis du Zero Trust : appréhender les vulnérabilités
Face à ce changement de paradigme, le « Zero Trust » s’est peu à peu imposé comme la politique de sécurité idéale. Cette approche de « zéro confiance » renforce la sécurité en vérifiant le niveau de confiance et de sécurité en prenant en considération le comportement des salariés. Ce modèle permet aux entreprises d’adopter une approche granulaire et basée sur les risques, pour permettre d’équilibrer les besoins en termes de sécurité et de flexibilité. Ainsi, quand certains employés peuvent accéder à des données et applications à faible risque, un nombre restreint peut avoir accès aux éléments plus sensibles via des méthodes plus sécurisées.
Toutefois, dans la réalité, les organisations mettent généralement en place ce modèle en imposant les mêmes règles à l’ensemble de leurs salariés, sans prendre en compte les besoins spécifiques de certains individus, c’est à dire ceux qui accèdent régulièrement ou non à des données sensibles de l’entreprise. Ce faisant, les entreprises risquent de nuire à la productivité des employés car les besoins liés aux fonctions spécifiques ne doivent pas être mises à l’écart, ainsi que les nécessités d’agilité et d’innovation. De plus, si les organisations utilisent trop de mesures Zero Trust drastiques au quotidien, elles risquent d’être confrontées à des réactions négatives de la part des employées. En effet, si les fonctions d’un employé sont entravées par des contrôles de sécurité trop stricts, celui-ci pourra peut-être tenter de les contourner, créant ainsi un lot de nouveaux problèmes de sécurité.
Passer du Zero Trust à une confiance « personnalisée »
Quelle serait alors la bonne manière d’adopter une stratégie Zero Trust tout en prenant en compte les besoins des collaborateurs ?
Une première étape pourrait être franchie par les organisations visant une approche plus personnalisée et sur-mesure du Zero Trust. Cela leur permettrait de tirer parti des principes Zero Trust tout en les associant à un profilage des risques, pour surveiller les utilisateurs et les appareils au niveau correspondant aux besoins quotidiens de chacun. Cette approche basée sur les « persona » place l’individu, plutôt que l’organisation seule, au cœur du processus, afin de fournir une expérience plus flexible sans compromettre la sécurité.
Plusieurs éléments clés sont à prendre compte pour cette approche. En premier lieu, les entreprises doivent comprendre les tâches quotidiennes des salariés selon leurs fonctions, puis le risque associé aux applications et aux données dont il aura accès. Ces risques peuvent inclure l’emplacement, la sensibilité des données, l’appareil utilisé, etc. En second lieu, les entreprises doivent s’efforcer de trouver un équilibre afin de pouvoir s’adapter si le risque change. Jusqu’à récemment, il était difficile de collecter des informations, de les mettre à jour et de les replacer dans leur contexte en termes de risque. La technologie a maintenant évolué, et l’arrivée du Machine Learning dans ce domaine signifie que l’on peut prendre des décisions basées sur les risques plus rapidement, facilitant l’adoption du Zero Trust.
Enfin, dans le cadre d’une « confiance personnalisée », les entreprises doivent prendre en compte la formation sur les thématiques liées à la sécurité. Comme pour tout autre type de formation, la formation sécurité doit être personnalisée par rapport aux fonctions professionnelles occupées ou à un niveau spécifique. Cela permet d’éviter des formations non nécessaires à certains salariés, et plus susceptibles d’oublier les bonnes pratiques.
Le télétravail a provoqué un plus grand nombre de failles en cybersécurité en 2022. Toutefois, les entreprises ne doivent pas commettre l’erreur de faire passer la sécurité avant l’humain. Le tout est de trouver un équilibre, qui peut pour permettre aux employés de fournir le meilleur travail possible, sans compromettre la sécurité de leur environnement en ligne.
____________________________
Par Spencer Pitts, Chief Digital Workspace Technologist EMEA, VMware
puis