Zero trust : 6 fausses croyances à combattre
Ces six - fausses - croyances sur le modèle de sécurité dit zero trust ou de confiance zéro méritent fortement d'être reconsidérées et doit inciter les entreprises à repenser leur stratégie en la matière.
Selon l'étude 2020 Security Priorities Study d'IDG, l'intérêt pour le modèle de sécurité zero trust est en plein essor : 40 % des répondants à l'enquête déclarent rechercher activement des technologies de confiance zéro, contre seulement 11 % en 2019, et 18 % des entreprises indiquent qu'elles disposent déjà de solutions zero trust, soit plus du double par rapport aux 8 % de 2018. Par ailleurs, 23 % des répondants prévoient de déployer une technologie de confiance zéro au cours des 12 prochains mois. Mais Steve Turner, analyste chez Forrester, fait remarquer que, dans ses récentes conversations avec des entreprises clientes, il a constaté que 50 à 70 % d'entre elles ne comprennent pas du tout les concepts et principes de base de la confiance zéro. Son explication ? « Le battage marketing a pris le dessus ». Et il ajoute : « Quand on ramène les choses à la réalité et que l'on présente la situation telle qu'elle est, les entreprises réalisent que leur mise en oeuvre du zero trust ne correspond pas à l'idée qu'elles s'en faisaient ». Voici donc 6 idées et fausses croyances sur le zero trust.
1 - Le zero trust résout un problème technologique
Non, le modèle de confiance zéro ne résout pas un problème technologique, mais un problème métier. « La première étape consiste à s'asseoir et à comprendre le problème métier que l'entreprise essaye de résoudre », a expliqué M. Turner. John Kindervag, un ancien analyste de Forrester, à l'origine du modèle de sécurité zero trust, insiste également sur la nécessité de se concentrer sur les résultats commerciaux, conseillant aux RSSI d'impliquer les métiers. « Si les RSSI ne connaissent pas les besoins métiers de leur entreprise, ils échoueront », a-t-il déclaré.
2 - Le zero trust est un produit ou un ensemble de produits
Une autre idée fausse très répandue sur le modèle de sécurité de confiance zéro est que, si l'on déploie de la gestion des identités, du contrôle d'accès et de la segmentation du réseau, on a une bonne implementation zéro trust. John Kindervag, vice-président senior de la stratégie de cybersécurité chez le fournisseur de services de sécurité managés ON2IT, explique que la confiance zéro n'est ni une suite de produits, ni un ensemble de tactiques. « C'est une initiative stratégique qui a pour objectif est de mettre fin aux violations de données », a-t-il déclaré. Le RSSI d'Accenture, Kris Burkhardt, décrit le modèle de sécurité de confiance zéro comme un « ensemble de principes » qui servent à construire un environnement technologique sécurisé. « Personne ne peut vendre une solution de confiance zéro à une entreprise », a ajouté le RSSI. « L'entreprise qui cherche à acheter un produit zero trust ne se pose pas les bonnes questions », a-t-il ajouté. Steve Turner de Forrester dit que certains clients avec lesquels il a discutés, ont acheté un produit qui leur promettait la confiance zéro, mais « ils n'ont pas changé d'un iota leur approche ». L'entreprise n'a pas classifié les données ; elle octroie toujours des privilèges excessifs aux employés, vendeurs et contractants ; elle n'a pas identifié les actifs critiques ou modifié les flux du réseau.
3 - Le zero trust suppose une méfiance vis-à-vis de ses propres employés
John Kindervag explique que de l'approche de la confiance zéro n'a pas pour objectif de donner confiance dans ses systèmes, mais plutôt de se débarrasser du concept de confiance dans les systèmes IT. « La confiance est une vulnérabilité qui est exploitée dans les violations de données. Nous n'essayons pas de rendre les systèmes fiables au point de leur accorder confiance ». Cette idée est parfois mal interprétée, comme si l'entreprise ne faisait soudainement plus confiance à ses employés. Les RSSI doivent expliquer que cette approche ne vise pas le personnel. C'est comme exiger une clef, une carte, un badge pour entrer dans un bâtiment. Et l'objectif ultime est de prévenir les violations de données, un enjeu qui concerne tout le monde dans l'entreprise.
4 - Le zero trust est difficile à mettre en oeuvre
John Kindervag, le VP d'ON2IT, conteste formellement l'idée que le modèle de sécurité de confiance zéro est difficile à mettre en oeuvre. « C'est un mythe créé et entretenu par des gens qui ne veulent pas que les entreprises le mettent en oeuvre parce que cela va tuer leur modèle de défense en profondeur », a-t-il déclaré. Il affirme que la confiance zéro n'est pas compliquée et certainement pas plus coûteuse à mettre en oeuvre que ce que font déjà les entreprises, et ce, sans même prendre en compte le coût d'une violation de données. John Turner reconnaît qu'il est beaucoup plus facile aujourd'hui de mettre en oeuvre le zero trust : les outils eux-mêmes se sont améliorés et les fournisseurs collaborent désormais pour accorder les lignes de produits. « Il est beaucoup plus facile de mettre en oeuvre le zero trust aujourd'hui, et avec un investissement moindre », a-t-il ajouté.
5 - Il n'y a qu'une seule bonne façon de démarrer dans le zero trust
« Deux approches de la mise en oeuvre de la confiance zéro ont émergé au fil du temps : l'une centrée sur la sécurité et l'autre centrée sur la gestion des identités », a encore expliqué M. Turner. Certaines entreprises commencent par l'identité et passent rapidement au déploiement de l'authentification multifactorielle, laquelle apportent « les avantages les plus faciles et les plus rapides ». « D'autres entreprises adoptent une approche centrée sur le réseau, en s'attaquant d'abord à la microsegmentation, ce qui peut être un peu plus difficile », selon M. Turner.
6 - Déployer du SASE revient à déployer du zero trust
Le Secure Access Service Edge ou SASE est récemment apparu comme un moyen d'aller vers la confiance zéro, car ce genre de service exécute les contrôles de sécurité dans le cloud. Cependant, M. Turner fait remarquer que de nombreuses entreprises ont opté pour le SASE pendant les premiers jours de la pandémie pour résoudre le problème immédiat du travail à distance de leurs employés. Le SASE permet de résoudre le problème de la confiance zéro à la périphérie, mais à mesure que les employés retournent au bureau, les entreprises se rendent compte qu'elles fonctionnent encore avec des concepts de sécurité périmétrique traditionnels. « Les solutions SASE ne sont pas conçues pour les modèles hybrides », a encore expliqué Steve Turner de Forrester. « Les entreprises doivent se pencher à nouveau sur la planche à dessin » et penser et appliquer la confiance zéro comme une stratégie à l'échelle de l'entreprise.
(Crédit : Arthur Bowers de Pixabay)