Le Zero Trust et les DSI
Le plus important pour un directeur de système d’information, c’est d’appréhender le modèle de zéro confiance appelé communément le Zero Trust, comme un concept ou si vous voulez une approche stratégique de la cybersécurité.
Ce qui signifie que ce n’est pas un produit.
L’idée de vouloir garder les mêmes habitudes, les mêmes outils ainsi que les mêmes procédures tout en voulant y inclure la zéro confiance est quasi impossible. Étant un concept le Zero Trust, participe même à l’organisation du système informatique. Celui-ci exige une certaine modernisation des pratiques mais aussi de l’ensemble des ressources qui vont être déployées. Ce qui signifie que si les directeurs de système d’information veulent opter pour l’approche de type 0 confiance, il faudrait bien évidemment qu’il décide de se débarrasser de toutes les pratiques anciennes ainsi que des outils traditionnels.
Cet article va aussi vous intéresser : Le Zero Trust et les sauvegardes : pourquoi cela est une obligation
« Les DSI doivent apprendre à s’en remettre à cette approche stratégique de la sécurité et, à terme, dire adieu une fois pour toutes au matériel de sécurité traditionnel. La première chose qu’un DSI doit comprendre au sujet du modèle Zero Trust, c’est qu’il ne s’agit pas d’un produit, mais d’une approche stratégique de la sécurité. », explique Christoph Heidler est Vice-Président chargé de la Stratégie de transformation globale et CIO de la zone EMEA chez Zscaler.
En remontant un peu dans l’historique de l’approche de type 0 confiance, on se rappelle qu’il a été promu par la société Forrester, à partir des années 2010. Depuis lors plusieurs grands acteurs dans le domaine du numérique ont décidé de développer celui-ci on peut prendre l’exemple de Google qui a d’abord peaufiné le concept dans sa propre stratégie de sécurité informatique : « Beyond Corp » en 2014. Par la suite on a eu droit à certaines améliorations apportées par le cabinet conseil Gartner et le National Institute of Standards and Technology (NIST) a depuis de 2017. Ajoutons d’ailleurs que c’est le NIST qui a développé le fameux acronyme ZTA pour Zero Trust Architecture. Cette dernière aurait publié des documents d’orientation qui décrivent exactement comment adopter cette approche novatrice qui se présentait comme étant différente fondamentalement une manière de se protéger à titre traditionnel.
« Un indispensable changement de mentalité. Dans la configuration de sécurité traditionnelle, basée sur le datacenter, les appliances matérielles étaient empilées dans des racks. Chaque nouveau besoin en matière de sécurité se traduisait par une nouvelle appliance de sécurité, et les entreprises finissaient par s’empêtrer dans un réseau complexe de pare-feu, de passerelles VPN, d’équilibreurs de charge et de protection contre le déni de service. Au fil des ajouts de composants, l’infrastructure devenait de plus en plus difficile à gérer. », explique Christoph Heidler.
« Lorsque les datacenters ont migré dans le Cloud, ces concepts ont souvent été transférés dans le monde virtuel et mis en œuvre dans toutes les zones du Cloud ou avec des partenaires multicloud. Cette approche n’a pas seulement augmenté la complexité et fait grimper en flèche le nombre d’instances de sécurité ; elle a également accru le risque lié à la surface d’attaque de l’organisation, car un grand nombre de ces composants étaient visibles en ligne et donc vulnérables aux attaques. », ajoute ce dernier.
Le modèle de type 0 confiance a pour avantage de réduire au maximum la complexité du système informatique. Il permet aussi de dissimuler le système pour éviter qu’il soit trop surveillé par les cybers malveillants donc vulnérables.
Et cette approche devient plus qu’essentielle. En effet, les choses évoluent à grands pas. D’abord le basculement et l’utilisation massifs du cloud par les organisations dans le but d’héberger de traiter des informations, le travail à distance qui s’est imposé sous une forme assez particulière qui ne restreint plus la gestion des données en un seul point. Tout est réuni pour que l’ensemble de l’organisation sécuritaire de chaque entité puisse sur réorganiser.
« Le Zero Trust ne commence pas par la connexion des utilisateurs au réseau traditionnel de l’entreprise. Son objectif est plutôt de fournir une connexion sécurisée et performante aux applications dont l’employé a besoin, sans que l’utilisateur soit nécessairement présent sur le réseau, et que l’application soit hébergée dans un datacenter ou dans un environnement multicloud. », note l’expert. De nos jours, il est facile pour les DSI de se poser en facilitateurs de la transition vers le Cloud, car les environnements multicloud font désormais partie du quotidien. Mais le retard à rattraper est considérable en ce qui concerne la transformation de la sécurité qui va de pair avec l’évolution de notre façon d’accéder aux applications et de structurer nos lieux de travail, et cela exige de repenser fondamentalement la sécurité. », conclut ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :