» Zero Trust « , c’est le Buzz Word du moment en matière de cybersécurité. D’ailleurs, pour bien des RSSI et DSI, le concept demeure encore assez flou. Mais derrière le marketing des fournisseurs se cache une vraie approche de la cybersécurité fondée sur des piliers qui ne sont pas nouveaux mais sont indispensables.  

Selon David Totten, CTO Global Partner Solutions chez Microsoft, le modèle Zero Trust a été défini comme « une approche intégrée proactive et délibérée de sécurité multicouche, axée sur trois principes essentiels : une vérification explicite et continue, un principe de moindre privilège, ainsi que le recueil de renseignements allié à des métriques, une identification et une réponse avancées. »

Rares sont les termes et les modèles de sécurité qui ont égalé le niveau de buzz atteint par le concept Zero Trust au cours des dernières années. Si vous écoutez un groupe de professionnels de la sécurité en 2022, il y a peu de chances que vous ne les entendiez jamais prononcer ce terme utilisé par les spécialistes de la sécurité et de l’identité dans tous les domaines.

Mais cette omniprésence est loin de reposer sur du vide ; ce sont les conditions réelles en matière d’identité, de sécurité et d’authentification qui ont largement imposé le modèle de sécurité Zero Trust, et ce à juste titre.

Le modèle Zero Trust comme nouvelle norme

Plusieurs facteurs ont facilité la révolution Zero Trust. Et parmi eux, la migration massive vers le Cloud. Plus précisément, l’adoption des systèmes de Clouds publics, combinée à un système d’applications d’entreprise hautement distribuées et disparates et aux droits d’accès associés, dont la compréhension totale échappe aux organisations. Cette prolifération des identités crée un système totalement dépourvu de capacités défensives, et avec des droits d’accès partout.

Le deuxième facteur indéniable en jeu n’est autre que la réalité quotidienne sur le terrain des violations de données. Il n’y a plus de « si » ; accepter l’inéluctabilité d’une attaque et tenter de la minimiser doit aller de pair avec la prévention des violations futures. Un modèle holistique de sécurité s’efforce d’éviter les problèmes tout en s’attendant à ce que ses efforts échouent. Il intègre donc l’authentification multifacteur et empêche les mouvements latéraux au sein des applications.

Cette réalité sur le terrain est caractérisée par la multiplication des points d’entrée que l’explosion des appareils professionnels et hybrides a facilitée. David Totten, CTO chez Microsoft, l’explique ainsi : « Nous voulons aujourd’hui que chacun ait un meilleur accès à ses informations. Or, cela a pour effet d’augmenter le ratio de vecteurs de menaces. Dans le contexte d’une stratégie de sécurité, il faut faire en sorte que les gens puissent accéder à leurs données où qu’ils soient, mais cela introduit évidemment une complexité avec le modèle de sécurité ».

Malgré ces facteurs évidents qui devraient être un moteur important d’adoption du modèle Zero Trust, celle-ci reste relativement faible, 38 % seulement des personnes interrogées citant la transformation digitale comme une raison de leur passage à ce modèle (selon une étude BIO-Key) . Comment expliquer cela ?

Pourquoi les entreprises mettent-elles autant de temps à adapter leur cybersécurité ?

Le modèle Zero Trust repose en grande partie sur la capacité d’une organisation à identifier et à classer avec précision les données qu’elle détient dans chaque document, endpoint ou système, et sur sa capacité à identifier et à classer avec précision chaque utilisateur ou système qui pourrait avoir besoin d’accéder à ces données. Cela peut créer des problèmes logistiques, de nombreuses organisations ayant du mal à identifier précisément le nombre de systèmes dont elles disposent et la manière dont ils peuvent être exposés. La classification plus poussée des données relatives à ces systèmes est une tâche complexe qui, de toute évidence, est hors de portée de la plupart des entreprises.

En outre, les coûts du modèle Zero Trust ne se limitent pas aux produits ou services nécessaires pour l’exécuter efficacement. Ces coûts comprennent le temps que l’organisation consacre à la planification d’un projet aussi complexe, le temps que chaque équipe de l’organisation consacre à la classification de ses données et le temps qu’il faut aux utilisateurs pour adapter leurs méthodes de travail afin qu’elles soient compatibles avec une stratégie de sécurité Zero Trust. Les structures actuelles des entreprises sont trop permissives en interne parce qu’il est tout simplement plus simple et moins coûteux pour elles de fonctionner ainsi.

Le modèle Zero Trust présente un intérêt majeur pour les organisations plus matures et plus agiles qui peuvent se permettre d’investir (et doivent investir massivement) dans la sécurité pour pérenniser la réussite de leurs activités. Mais il peut être considéré comme un objectif irréaliste pour la plupart des entreprises. C’est ce fossé que les organisations et les professionnels de la sécurité doivent combler.

Ne pas rester à la traîne

Le modèle Zero Trust s’impose, que les entreprises soient prêtes ou non à l’adopter ; les organisations plus grandes et plus agiles y veillent. Les recherches menées par Grand View Research indiquent que « le marché mondial de la sécurité Zero Trust a été évalué à 19,8 milliards de dollars en 2020 et devrait enregistrer un taux de croissance annuel composé (TCAC) de 15,2 % entre 2021 et 2028. La prolifération des endpoints, associée à l’adoption croissante de la technologie Cloud, a déclenché la nécessité de mettre en œuvre un cadre de sécurité Zero Trust. »

Le marché est appelé à croître et à continuer de croître. Si vous ne vous adaptez pas à ce changement, ou du moins si vous ne vous assurez pas que vos systèmes sont prêts pour cette évolution, vous risquez de ne pas satisfaire aux exigences des systèmes d’authentification de plus en plus complexes qui s’imposent à nous tous.

Pire encore, si vous ne suivez pas le mouvement, vos systèmes risquent d’être considérés comme dépassés non seulement par vos pairs et vos clients (qui exigeront de plus en plus que la sécurité soit une priorité absolue), mais aussi par les cybercriminels déterminés à tirer parti de votre inaction.
___________________

Par Hicham Bouali, Directeur Avant-Ventes EMEA de One Identity 

 


À lire également :

SASE & Zero Trust : la combinaison clé pour la sécurité…

Zero Trust : vous n’aimez pas le concept ? Reconnaissez au moins son efficacité…

Aller au-delà du Zero Trust pour lutter contre les ransomwares et les fuites de données…

5 questions sur le modèle Zero Trust auxquelles les MSP doivent se préparer à répondre