L'ironie du concept de Zero Trust

Par Kris Lovejoy

Zero Trust est l'une des expressions les moins comprises de la cybersécurité, mais l'une des plus à la mode. En considérant ces dernières années, il est facile de comprendre pourquoi. De nos jours, la confiance se fait rare. Compte tenu de l'augmentation exponentielle des attaques ransomwares ou cryptojacking et des tensions géopolitiques croissantes, nous vivons dans une époque fragilisée, en particulier lorsqu'il s'agit de gérer une entreprise. Il n'est donc pas surprenant que le concept de « Zero Trust » et de ses implications présumées s'adressent à de nombreuses entreprises.

L'ironie est que pour mettre en place un cadre Zero Trust, vous devez disposer d'un référentiel hautement validé d'identités, de ressources, d'applications et de réseaux sur lequel vous pouvez compter.

Alors, comment définir précisément le concept de Zero Trust ?

Tandis que les moteurs des conversations sur la cybersécurité peuvent avoir changé (passant d'une forte augmentation de la main-d'œuvre à la suite de la pandémie à des infrastructures de cloud hybride), le terme « Zero Trust », lui, n'a pas changé. Inventé en 1994, le concept a ensuite été développé en une philosophie de sécurité holistique par John Kindervag, ancien analyste chez Forrester. Auparavant, le terme passait de secteur en secteur, et signifiait « refuser par défaut », « ne jamais faire confiance, toujours vérifier ».

En résumé, le concept de Zero Trust est une stratégie de sécurité. De manière plus générale, il s'agit d'un état d'esprit en matière de sécurité à l'échelle de l'entreprise, qui considère tous les nœuds finaux et les comptes comme non fiables. Tandis que d'autres systèmes de sécurité (tels que la notion de périmètre autrefois préférée) peuvent uniquement nécessiter une authentification géolocalisée ou à deux facteurs, avec le Zero Trust, les utilisateurs et les applications sont autorisés à accéder aux systèmes uniquement au moment et à l'endroit où ils en ont besoin.

En refusant l'accès par défaut, une approche Zero Trust fait appliquer un système dynamique et continu de vérification pour les utilisateurs et leurs appareils. Dans le climat actuel, où les fuites de données ne sont plus une question de si savoir « si » mais de savoir « quand », le Zero Trust permet aux entreprises de mieux protéger les données et de minimiser l'impact potentiel d'une attaque, tout en facilitant une réponse plus localisée et plus rapide.

Hôtel Périmètre par rapport à Hôtel Zero Trust

Imaginez que le réseau de votre entreprise est un hôtel dans lequel l'accès aux chambres est réglementé par des cartes magnétiques. Auparavant, lorsque les clients s'enregistraient dans cet hôtel (appelons-le Hôtel Périmètre), ils passaient par un bref processus de vérification d'identité avant de récupérer leur carte magnétique. Avec cette carte magnétique, ils avaient alors plus ou moins carte blanche et pouvaient accéder à toutes les pièces de l'hôtel, à l'exception de celles qui avaient été spécifiquement verrouillées.

Lorsque les visiteurs s'enregistrent dans l'Hôtel Zero Trust, la situation est inversée. Même après le processus de vérification beaucoup plus strict de l'hôtel, la carte magnétique du client n'agit plus comme une clé à accès illimité. Cette fois, toutes les portes sont verrouillées, à l'exception de celles qui ont été spécifiquement déverrouillées. Ils peuvent demander à accéder à certaines de ces portes déverrouillées, mais leur requête ne sera acceptée que lorsque cela sera absolument nécessaire.

En fait, dans l'Hôtel Zero Trust, la carte magnétique n'a jamais aussi peu servi. Ici, les clients se voient octroyer l'accès en prouvant leur identité à l'aide de nombreux facteurs différents, tous beaucoup plus précis que ce petit rectangle de plastique, qu'il est si facile de perdre ou de voler. Ce concept évite au client de devoir fouiller dans ses bagages pour trouver cette fichue clé magnétique tout en lui assurant que la pièce dans laquelle il entre est exactement celle dans laquelle il doit être.

Le propriétaire de l'hôtel peut désormais avoir l'esprit tranquille : il sait que son bien est aussi sécurisé que possible et qu'il fonctionne toujours comme prévu.

C'est là que réside l'ironie du Zero Trust

Afin qu'une infrastructure Zero Trust puisse fonctionner, une entreprise doit pouvoir s'appuyer sur le référentiel hautement validé d'identités, de ressources, d'applications et de réseaux mentionné ci-avant. En d'autres termes, dans les cadres de sécurité (vérification, surveillance et stockage de données) qui composent cette approche globale.

hez Kyndryl, nous aimons voir le Zero Trust comme cinq piliers de sécurité intégrée : identités, dispositifs, réseaux, applications et données. Dans la plupart des entreprises, les systèmes de cybersécurité sont cloisonnés : un département est en charge du traitement des identités, un autre des nœuds finaux, un autre des firewalls, etc. Avec le Zero Trust, la sécurité devient un système intégré à 360 degrés où la communication et la collaboration entre ces piliers ou départements sont la clé et où les identités, les mots de passe et les ressources du réseau sont centralisés dans des référentiels sécurisés.

Simple en théorie, jusqu'au moment où ces pratiques doivent être mises en place

Une bonne partie du problème réside dans le fait que le Zero Trust requiert un changement radical de l'état d'esprit en matière de sécurité au niveau organisationnel. La première étape consiste à arrêter de conceptualiser cette approche comme une politique ou un produit à guichet unique. Au lieu de cela, elle doit être considérée comme un processus de sécurité dynamique et évolutif, sans nœud final fixe.

Il s'agit là de l'un des plus grands défis du système. Mais il s'agit également de l'un des plus grands avantages du Zero Trust. En adoptant cette stratégie adaptative basée sur le risque, les entreprises sont en mesure de construire un ensemble de pratiques de sécurité qui s'adapte parfaitement à leurs besoins et objectifs en constante évolution. C'est pourquoi chez Kyndryl, nous adoptons une approche individuelle et progressive pour aligner le Zero Trust avec le profil de risque de chaque entreprise ainsi qu'avec leurs autres initiatives de transformation informatique majeures, en nous concentrant sur ce qui compte le plus pour la sécurité et l'avenir de l'entreprise.

Dans ce monde qui évolue rapidement et en ces temps déconcertants, il peut être difficile, voire impossible, de décider en quoi et en qui avoir confiance, et quand. En matière de cybersécurité, le concept de Zero Trust est la meilleure réponse que nous pouvons avoir pour prendre de bonnes décisions.

Cliquez ci-dessous pour écouter mes collègues de chez Kyndryl et moi-même discuter de la manière dont l'évolution de l'environnement des menaces peut avoir un impact sur votre stratégie de cybersécurité.