Par Kris Lovejoy
Zero Trust est l'une des expressions les moins comprises de la cybersécurité, mais l'une des plus à la mode. En considérant ces dernières années, il est facile de comprendre pourquoi. De nos jours, la confiance se fait rare. Compte tenu de l'augmentation exponentielle des attaques ransomwares ou cryptojacking et des tensions géopolitiques croissantes, nous vivons dans une époque fragilisée, en particulier lorsqu'il s'agit de gérer une entreprise. Il n'est donc pas surprenant que le concept de « Zero Trust » et de ses implications présumées s'adressent à de nombreuses entreprises.
L'ironie est que pour mettre en place un cadre Zero Trust, vous devez disposer d'un référentiel hautement validé d'identités, de ressources, d'applications et de réseaux sur lequel vous pouvez compter.
Alors, comment définir précisément le concept de Zero Trust ?
Tandis que les moteurs des conversations sur la cybersécurité peuvent avoir changé (passant d'une forte augmentation de la main-d'œuvre à la suite de la pandémie à des infrastructures de cloud hybride), le terme « Zero Trust », lui, n'a pas changé. Inventé en 1994, le concept a ensuite été développé en une philosophie de sécurité holistique par John Kindervag, ancien analyste chez Forrester. Auparavant, le terme passait de secteur en secteur, et signifiait « refuser par défaut », « ne jamais faire confiance, toujours vérifier ».
En résumé, le concept de Zero Trust est une stratégie de sécurité. De manière plus générale, il s'agit d'un état d'esprit en matière de sécurité à l'échelle de l'entreprise, qui considère tous les nœuds finaux et les comptes comme non fiables. Tandis que d'autres systèmes de sécurité (tels que la notion de périmètre autrefois préférée) peuvent uniquement nécessiter une authentification géolocalisée ou à deux facteurs, avec le Zero Trust, les utilisateurs et les applications sont autorisés à accéder aux systèmes uniquement au moment et à l'endroit où ils en ont besoin.
En refusant l'accès par défaut, une approche Zero Trust fait appliquer un système dynamique et continu de vérification pour les utilisateurs et leurs appareils. Dans le climat actuel, où les fuites de données ne sont plus une question de si savoir « si » mais de savoir « quand », le Zero Trust permet aux entreprises de mieux protéger les données et de minimiser l'impact potentiel d'une attaque, tout en facilitant une réponse plus localisée et plus rapide.