3 choses que vous croyez vrais sur le Zero Trust… à tort
Aujourd’hui dans la définition de leur politique de sécurité, la majorité les organisations continuent d’adopter de manière massive le modèle confiance type 0.
Appeler en anglais le Zero Trust, ce modèle consiste à bannir tout type d’assurance et de sécurité au niveau des l’utilisation des outils informatiques. Conformément à cette application, tous les outils informatiques sont vulnérables.
Cet article va aussi vous intéresser : La protection des infrastructures industrielles et informatique par le Zero Trust
Pourtant, 70 % des entreprises n’ont pas une réelle maîtrise de ce concept. Si selon plusieurs études en particulier celle qui a été publiée en 2020 par Security Priorities Study, le modèle du Zero Trust se répand de plus en plus, il n’en demeure pas moins, que les entreprises sont toujours à la traîne quant à son appréhension officielle. On peut noter cependant que 40 % des personnes qui ont répondu à l’enquête ont déclaré quelles sont à la recherche deux modèles de type zero trust, lors de la recherche de leurs technologies. Pourtant en 2019, ce chiffre était hauteur de 11 %. Aujourd’hui, le nombre d’entreprises qui adoptent des technologies de type confiance zéro son hauteur de 18 %. 23 % des entreprises et interroger en t’affirmer qu’elles ont dans leurs projets de déployer certainement des technologies de type Zero Trust, un chiffre qui représente nettement le double par rapport à l’année dernière.
Malheureusement, comme il a été mentionné plus haut, la majorité des entreprises ne comprennent pas les concepts de base de la confiance zéro, comme l’explique l’analyste chez la société Forrester, Steve Turner, analyste chez Forrester, « Le battage marketing a pris le dessus ». Par ailleurs, il observe : « Quand on ramène les choses à la réalité et que l’on présente la situation telle qu’elle est, les entreprises réalisent que leur mise en œuvre du Zero Trust ne correspond pas à l’idée qu’elles s’en faisaient ».
C’est dans ce contexte que nous que nous avons proposé trois idées reçues à propos de la procédure à confiance au zéro :
Idée 1 – Le confiance zéro permet de résoudre un problème technologique
De manière pratique ce point de vue est totalement erroné. Car, le zero impacte beaucoup plus les problèmes métier. « La première étape consiste à s’asseoir et à comprendre le problème métier que l’entreprise essaye de résoudre », comme nous l’explique M Steve Turner de chez Forrester.
« Si les RSSI ne connaissent pas les besoins métiers de leur entreprise, ils échoueront », avait mis en évidence, in ex analyste de chez Forrester, John Kindervag, le concepteur du modèle Zero trust.
Idée 2 – Le Zero Trust se constitue en un produit ou un ensemble de produits
Une autre idée qui est totalement erroné dans la pratique. En effet, selon le fondateur même de sur concept, John Kindervag, senior vice-président de la cybersecurity strategy chez ON2IT, un fournisseur de services de sécurité managés : « la confiance zéro n’est ni une suite de produits, ni un ensemble de tactiques. C’est une initiative stratégique qui a pour objectif est de mettre fin aux violations de données ». En d’autres termes, un bon contrôle des accès et une bonne segmentation du réseau suivi d’un déploiement efficace de la gestion des identités, on peut alors avancer d’une très bonne implémentation de la procédure de la confiance au zéro. Par ailleurs, le Kris Burkhardt, responsable de sécurité de système d’information de Accenture explique que : « le modèle de sécurité de confiance zéro comme un ensemble de principes qui servent à construire un environnement technologique sécurisé. Personne ne peut vendre une solution de confiance zéro à une entreprise ». Il ajoute aussi : « L’entreprise qui cherche à acheter un produit Zero Trust ne se pose pas les bonnes questions ».
Cependant, selon en retour d’expérience de Steve Turner, la majorité des clients qui veulent opter pour le Zero Trust, se contentent tout simplement d’acheter un produit qui promet la confiance zéro, « ils n’ont pas changé d’un iota leur approche ». Hormis cela ils n’ont même pas cherché à organiser tout ce qui pourrait tourner autour de ce concept. « L’entreprise n’a pas classifié les données ; elle octroie toujours des privilèges excessifs aux employés, vendeurs et contractants ; elle n’a pas identifié les actifs critiques ou modifié les flux du réseau. ».
Idée 3 – La confiance Zero suppose d’être méfiant méfiance à l’égard de ses propres employés
Comme la signifier plusieurs spécialistes, le but de la politique de la zéro confiance consiste à se débarrasser de tout sentiment de confiance à l’égard de ses systèmes informatiques. Peu importe leur conception et leur composition.
John Kindervag explique que : « La confiance est une vulnérabilité qui est exploitée dans les violations de données. Nous n’essayons pas de rendre les systèmes fiables au point de leur accorder confiance ».
Cependant, cela est mal interprété par les entreprises qui a tendance à ôter automatiquement leur confiance en leurs employés. « Les RSSI doivent expliquer que cette approche ne vise pas le personnel. C’est comme exiger une clef, une carte, un badge pour entrer dans un bâtiment. Et l’objectif ultime est de prévenir les violations de données, un enjeu qui concerne tout le monde dans l’entreprise. », souligne Neal Weinberg, CSO.
Accédez maintenant à un nombre illimité de mot de passe :