La cybersécurité sans confiance… Cette approche de la cybersécurité où l’on ne fait par défaut confiance à personne demande à revisiter en profondeur les schémas en place. D’où sa complexité. Le Zero Trust, qu’on adhère ou non au concept, son efficacité est réelle.

Les risques cyber induits par la COVID ainsi que la complexité croissante des réseaux ne sont pas passés inaperçus auprès des dirigeants. Dans une récente enquête de Deloitte, 72% affirmaient que leur entreprise avait subi entre un et dix incidents cyber ou attaques l’année dernière. Ces menaces persistantes – et l’inaptitude à stopper les intrusions – suscitent ainsi un niveau inédit de méfiance.

S’appuyer sur la confiance, ou non

Cette méfiance est probablement la raison majeure pour laquelle les dirigeants et directeurs financiers s’intéressent au concept de « Zero Trust ». Ils n’ont en effet plus confiance en rien ni en personne quant à l’exploitation de leur réseau. Des formules comme « ne fais jamais confiance sans avoir vérifié » s’imposent alors comme des vérités absolues et les poussent à exiger des équipes de sécurité des contrôles approfondis, et ce le plus tôt possible.

Pour les responsables informatiques et de la sécurité, le « Zero Trust » évoque cependant plutôt un sentiment de frustration. Les PDG aiment le concept de par sa simplicité apparente qui permet d’avancer rapidement et sereinement. Pourtant, la mise en œuvre du « Zero Trust » est tout sauf simple. Elle demande en effet un changement fondamental d’une approche d’accès exclusif au périmètre du réseau à un modèle où les utilisateurs internes et externes seront contrôlés et authentifiés à plusieurs reprises avant d’accéder à une ressource. Plus que l’intégration d’une nouvelle technologie, c’est ici l’adoption d’une nouvelle philosophie.

Quand bien même le « Zero Trust » pourrait apporter son lot d’inconfort ou de remise en question, ce concept semble également représenter l’avenir de la mise en sécurité des réseaux. À mesure que nous évoluons dans un monde hyperconnecté, la notion de périmètre du réseau s’estompe pour de nombreuses entreprises. Par ailleurs, les menaces deviennent de plus en plus sophistiquées. Les acteurs malveillants s’attaquant aux pares-feux extérieurs sont remplacés par des attaques de phishing ciblés, des malwares ou d’autres techniques pour transformer l’interne – un utilisateur ou une application de confiance – en un vecteur d’attaque ; et même la stratégie de sécurité la plus élaborée peut faillir face à ce type de menaces.

Passer des châteaux forts aux infrastructures modernes

Dans le passé, les réseaux étaient comme des châteaux forts, mais à l’ère de l’IoT et du télétravail, ils se transforment avec des équipes de sécurités devant penser plus comme des dirigeants modernes que comme des seigneurs. La cartographie, la coordination et la préparation prennent désormais le pas sur la construction de remparts.

Alors que le « Zero Trust » a de la valeur dans toutes les industries et secteurs, il n’existe pas pour autant de solution universelle. Ce concept demande ainsi un engagement long-terme pour identifier les bénéfices commerciaux, les capacités existantes à conserver et leur utilisation la plus adéquate. Plusieurs niveaux doivent être étudiés : la sécurité et la confiance accordé au personnel, les appareils, les données et les applications ainsi que le réseau lui-même.

Contrairement à une solution uniquement technologique, le « Zero Trust » implique également un important changement de culture. C’est pourquoi les entreprises doivent aller au-delà de la technologie et adopter des facteurs plus souples dans la communication, la formation, la sensibilisation ou encore dans l’ajustement des processus opérationnels. Les stratégies doivent aussi être alignées sur les objectifs globaux et être totalement supportées par les dirigeants et les acteurs clés.

Associés à l’intérêt croissant et à la reconnaissance de la nécessité de « Zero Trust », de nouveaux outils et solutions ont été conçus pour permettre aux professionnels d’évoluer rapidement vers un tel environnement. Ceux-ci peuvent étendre la protection des utilisateurs aux charges de travail et couvrir aussi bien le cloud que les réseaux sur site. Quant à la tâche complexe de compréhension des applications et des utilisateurs, elle ne disparaît pas, mais sa mise en œuvre est largement simplifiée. En fin de compte, l’objectif est que la visibilité et la mise en application s’étendent entièrement à tous les points de connexion du réseau.

Bien que le concept « Zero Trust » ne soit pas si simple qu’il n’y paraît – ne pas accorder une confiance aveugle aux utilisateurs, appareils ou applications – créer l’architecture sous-jacente pour l’implémenter n’est pas un effort anodin. Qu’on y adhère ou non, il ouvre aujourd’hui la voie à un avenir plus sécurisé pour nos réseaux.
___________________

Par Ramyan Selvam, ingénieur avant-vente de Juniper Networks


À lire également :

Datacenters : s’ouvrir à davantage de diversité pour répondre aux besoins de compétences

Zero Trust : sécuriser la communication entre les workloads dans le cloud

Aller au-delà du Zero Trust pour lutter contre les ransomwares et les fuites de données…

5 questions sur le modèle Zero Trust auxquelles les MSP doivent se préparer à répondre

Les 5 enseignements du rapport 2021 sur la sécurité Zero Trust…

La route vers SASE promet sans doute d’être longue…

Effectuer une transition vers le modèle SASE : par où commencer ?

SASE : le choix critique de l’architecture…