Qu’il s’agisse d’une phase de planification d’une ZTA ou simplement d’une mise en place, il est important de connaître les idées reçues les plus répandues concernant cette architecture pour mieux la comprendre
Une étude réalisée par KPMG révèle que 29 % des chefs d’entreprises considèrent la cybersécurité comme étant le problème le plus impactant pour leurs organisations. De plus, la généralisation du modèle de travail hybride a étendu la surface d’exposition et ainsi les risques de compromissions de données. Dans ce contexte, les entreprises doivent prendre des mesures concrètes pour réduire les risques.
Parmi les moyens efficaces, l’architecture Zero Trust (ZTA) constitue un bouclier de cybersécurité efficaces pour les entreprises et repose sur le principe suivant : aucun utilisateur, qu’il s’authentifie de l’intérieur ou depuis l’extérieur du périmètre réseau de l’entreprise, ne doit bénéficier d’une confiance implicite.
De plus, la méthode d’authentification doit être résistante au phishing et fournir des signaux qui confirment la protection des identifiants de l’utilisateur. Cependant la définition exacte du Zero Trust reste confuse pour beaucoup d’organisations. Quels sont concrètement les impacts d’une ZTA ? Par exemple, dans quelle mesure son adoption influence-t-elle les décisions budgétaires comme l’achat d’équipements ou de logiciels ? Et comment cette adoption modifie-t-elle les calendriers de mise à niveau ?
Qu’il s’agisse d’une phase de planification d’une ZTA ou simplement d’une mise en place, il est important de connaître les idées reçues les plus répandues concernant cette architecture pour mieux la comprendre. En effet, si les entreprises partent du principe qu’elles sont vraies, leur stratégie de cybersécurité risque fortement d’être mise à mal.
Idée reçue n°1 – Le Zero Trust est un produit
Le terme « Zero Trust » apparaît sur certaines descriptions de produits, mais le Zero Trust n’est pas en soi un produit ni une caractéristique de produit.
Il s’agit plutôt d’un modèle ou encore d’un cadre basé sur de bonnes pratiques de sécurité. Pour exploiter tout le potentiel d’une approche ZTA, ces principes de sécurité doivent être appliqués à chaque projet, indépendamment de la technologie utilisée.
Divers modèles ZTA comportent des disciplines spécifiques et des fonctionnalités transversales sur lesquelles différentes solutions se concentrent, mais toutes doivent fonctionner ensemble pour garantir une intégration efficace de la gestion des accès et des risques.
Idée reçue n°2 – Les avantages du Zero Trust ne peuvent être concrétisés qu’une fois le cadre mis en place
La mise en place d’une ZTA peut être considérée comme le fait d’adopter une alimentation saine. Il ne s’agit pas d’un régime ponctuel, mais d’un choix de vie dont les différents éléments conduisent à une meilleure santé globale.
Il sera difficile de courir un marathon immédiatement, mais chaque bonne habitude en termes de santé et d’exercice contribuera à améliorer la condition physique dans son ensemble. Il en va de même pour l’architecture Zero Trust. Tous les composants ne seront pas forcément installés en même temps, mais en exploitant le bon cadre permettant de procéder étape par étape, l’entreprise se rapprochera progressivement d’une architecture de sécurité Zero Trust mature.
Par ailleurs, avant d’activer les déploiements, il est important de mettre en place un plan de communication visant à informer les utilisateurs sur ce qui les attend. En ce qui concerne la gestion des changements de base, par exemple, présenter aux équipes et aux utilisateurs l’avantage de miser sur une approche différente et de déployer de nouvelles technologies est un bon moyen de les convaincre pour parvenir à une architecture Zero Trust.
Réaliser un audit de sécurité constitue une autre bonne pratique pour démarrer une initiative Zero Trust et planifier les premières étapes de la feuille de route. Chaque utilisateur accédant au réseau fait-il l’objet d’une vérification approfondie ? Utilise-t-il un mécanisme d’authentification fiable ? Si la réponse à ces questions est « non », cela facilite l’identification des utilisateurs qui accèdent trop facilement au réseau.
Idée reçue n°3 – Le Zero Trust ne concerne que les utilisateurs privilégiés
En séparant les utilisateurs privilégiés des autres utilisateurs, l’équipe peut limiter la visibilité sur le risque et compliquer l’architecture. Il est préférable d’aborder le risque en fonction de la classification des données. Il sera ainsi possible de se concentrer sur ce qui importe réellement et donc sur la manière de le protéger.
Dans le cadre d’une ZTA, chaque utilisateur – et pas seulement les quelques personnes ayant un poste important ou visible – doit être considéré comme un utilisateur privilégié.
Aujourd’hui, les données sensibles ne résident plus dans un seul et même environnement de serveurs sur site. Les structures les plus agiles stockent généralement ces données à divers endroits, y compris dans le cloud, pour pouvoir y accéder depuis plusieurs niveaux de l’entreprise. Or, il suffit d’un seul événement compromettant de la part d’un utilisateur pour exposer les données les plus précieuses. D’où l’importance d’étendre la définition des personnes dites privilégiées.
Idée reçue n°4 – Le Zero Trust est réservé aux grandes entreprises
Absolument pas ! Comme mentionné précédemment, le Zero Trust est un concept plutôt qu’un ensemble de technologies. Il peut donc être appliqué aux organisations de toutes tailles. Parce qu’elles comptent de nombreux types d’utilisateurs, de systèmes et de points d’accès, les grandes entreprises auront certainement des raisons plus urgentes de le mettre en œuvre par rapport aux petites structures.
Toutefois, le même cadre et la même approche d’architecture sont pertinents pour les PME qui ont tout intérêt à considérer cette approche également. Sachant que plusieurs d’entre elles dépendent d’environnements à forte densité d’applications cloud, une approche Zero Trust reste la bonne marche à suivre.
De plus, les environnements cloud offrent un certain nombre d’avantages intrinsèques au Zero Trust, mais cela ne signifie pas qu’il faut cesser de développer l’architecture Zero Trust. Au contraire, il est essentiel de veiller à ce que les systèmes utilisés soient correctement configurés et maintenus, tout en gardant à l’esprit les principes du Zero Trust.
Idée reçue n°5 – Le Zero Trust est réservé aux secteurs à haut risque ou fortement réglementés
Les exigences de conformité et de réglementation sont souvent à l’origine de l’urgence des projets de mise en œuvre du Zero Trust, car les agences gouvernementales fixent généralement des dates limites à respecter.
Cependant, même les entreprises qui ne travaillent pas avec ces administrations ou qui ne sont pas soumises à une surveillance réglementaire stricte doivent appliquer les bonnes pratiques du Zero Trust pour protéger leurs données sensibles et leur propriété intellectuelle. Devant l’évolution rapide et la volatilité du paysage des menaces, il fait sens d’utiliser cette approche pour réduire les risques.
Idée reçue n°6 – Le Zero Trust perdra de sa pertinence avec le retour des utilisateurs au bureau
Malgré le retour progressif des employés au bureau, le modèle hybride n’est pas près de disparaître. Ce modèle, où les salariés peuvent tour à tour travailler de chez eux, au bureau ou en déplacement, exige que tout système d’authentification soit prêt à vérifier les identités des utilisateurs à de multiples points d’accès.
L’architecture Zero Trust a vu le jour à l’époque où tout le monde se rendait au bureau, et elle a gagné en importance avec la montée en puissance du télétravail. Dans le contexte actuel de travail hybride, la ZTA continue de fournir des principes clés permettant d’assurer la sécurité et la productivité des entreprises.
En fin de compte, la mise en place d’un cadre Zero Trust est tout un parcours. Pour réussir, les entreprises doivent adopter une approche qui consiste à ne faire confiance à rien ni à personne tant qu’une vérification appropriée précédant l’accès au réseau ou aux données n’a pas été faite.
En intégrant une authentification forte et résistante au phishing aux éléments de base de leur stratégie Zero Trust, les entreprises renforceront considérablement leur posture de sécurité.
En ce sens, l’utilisation d’outils d’authentification multi-facteurs (MFA) modernes et résistants au phishing, pour empêcher l’accès au réseau à l’aide de mots de passe volés et formes de MFA dépassées, est un bon point de départ pour commencer un parcours vers le Zero Trust.
