Il est étonnant de voir tout ce que le marketing a réussi à faire avec un terme aussi rébarbatif que « Zero Trust ». Mais ce buzz ne doit pas nous masquer la réalité de ce concept qui n’est ni un produit, ni une technologie, ni une solution clé en main…
Dans presque tous les contextes en dehors de la sécurité, le Zero Trust n’a aucune connotation positive. « Il n’y a aucune, je répète, aucune confiance entre nous » n’est pas une phrase que les gens aiment entendre. Elle est offensive, si ce n’est agressive.
Quand dans le milieu professionnel nous commençons à parler du Zero Trust, les employés se sentent ciblés, comme s’ils étaient surveillés. Depuis que la confiance est une partie prenante de l’écosystème du travail (un terme botanique détourné par le langage des affaires, soit dit en passant), la confusion est compréhensible.
Pourquoi cet enthousiasme autour du Zero Trust ?
Parce que pour la plupart des gens, y compris pour les responsables informatiques, la confiance est importante. Et nous aimons montrer où nous plaçons cette confiance. Nous avons confiance en nos époux-ses, partenaires, famille et amis proches. C’est donc sans grande surprise que nous voyons le marketing créer un battage médiatique suffisant afin de capter un public non technique avec un terme comme « Zero Trust ».
Le Zero Trust, qu’est-ce que c’est ?
Le Zero Trust est un terme de sécurité. Cette approche consiste à protéger les équipements informatiques de toute forme d’attaque. Cela ne consiste pas à n’accorder sa confiance à qui que ce soit, il s’agit plutôt de ne pas présumer d’une confiance automatique basée sur des facteurs comme : la localisation (interne ou externe au réseau de l’entreprise), un utilisateur ou un matériel.
C’est une stratégie, un état d’esprit, un système de croyances – peu importe la manière dont vous le qualifiez tant que vous comprenez que son objectif principal est de prévenir des menaces de sécurité.
Pourquoi cette nouvelle approche ?
L’évolution liée au cloud, au télétravail, aux politiques de BYOD (bring your own device) et l’IoT (l’internet des objets) a rendu moins efficace la simple protection du périmètre réseau et la supposition que toute activité est digne de confiance.
Le mantra du Zero Trust « ne jamais faire confiance, toujours vérifier » plait aux professionnels de la sécurité. Pour une entreprise, le Zero Trust peut prévenir des menaces internes, réduire le risque d’erreur humaine, de fantômes informatiques ou encore de piratage.
La sécurité fiable à 100% n’existant pas, mais la mise en place du Zero Trust reste, pour les équipes informatiques, complémentaire aux solutions de sécurité déjà existantes. Le Zero Trust complète ces solutions « traditionnelles » en mettant l’accent sur les solutions automatisées qui reconnaissent les écarts par rapport aux activités normales, même lorsque les utilisateurs, les dispositifs, les réseaux et les charges de travail (en termes de trafic de données) sont correctement vérifiées.
Finalement, le Zero Trust n’est pas
Il est important d’insister sur ce que le Zero Trust n’est pas :
– Un produit : ce n’est pas une solution permettant ou non à un utilisateur d’accéder au réseau. Le Zero Trust signifie demander l’autorisation et l’authentification de chaque session utilisateur.
– Une solution prête à l’emploi : Sa mise en place sera différente selon les entreprises, leur infrastructure informatique et leurs enjeux spécifiques de protection des données.
– Une façon détournée pour espionner les employés : Il s’agit d’une stratégie en évolution permanente afin les pirates et les employés malveillants de tirer avantage des stratégies de sécurité antérieures qui reposaient sur la confiance accordée aux appareils et aux utilisateurs au sein du réseau.
– QUE pour les grandes entreprises : Les entreprises de toutes tailles peuvent tirer avantage de cette stratégie de sécurité.
La protection des entreprises grâce au Zero Trust
Ne prenez pas peur face au terme froid et sans cœur « Zero Trust ». Au lieu de cela, prenez-le à votre compte, faites-en un nouveau point fort pour votre entreprise. Et surtout, et ne perdez pas cela de vue, le fait de ne pas tirer parti du Zero Trust peut entraîner une croissance négative et une réduction significative des effectifs en raison des dommages causés par une violation des données.
___________________
Par François Amigorena, Président & CEO de IS Decisions
puis