In Zero Trust we trust ! [Partenariat Microsoft]

Le Zero Trust est incontournable, mais son implémentation ne doit pas désorganiser le travail ni nuire à la productivité. Il faut donc procéder graduellement, en douceur.

Aujourd’hui, tous les acteurs de la cybersécurité – gouvernements comme entreprises – adoptent la règle du Zero Trust, qui consiste globalement à ne faire confiance à rien ni à personne… Car ce qui a beaucoup changé avec la vague du Go-to-Cloud et les bouleversements de la crise sanitaire, c’est que les assets ne sont plus localisés à un endroit donné et dûment barricadé. Leur « exposition » aux cybermenaces se présente donc dans des termes radicalement différents.

Le Zero Trust, c’est le postulat selon lequel tout, par défaut, représente une menace potentielle, à commencer par l’utilisateur lui-même. Et ce n’est qu’une combinaison de différents éléments qui permettra de donner des autorisations ou des accès à telle ou telle information. 

Pour être pleinement efficace, cette approche suppose de respecter trois principes fondamentaux : 

• D’abord vérifier explicitement chaque demande, quelle que soit sa provenance et la ressource à laquelle elle entend accéder, en utilisant tous les points de données disponibles : l’identité, la localisation, la santé de l’appareil, les ressources, la classification des données et les anomalies. 
• Ensuite, limiter l’accès au « moindre privilège » – « Just-in-Time Access » – et mettre en place des politiques adaptatives qui éliminent le risque sans nuire à la productivité. 
• Considérer, enfin, qu’une violation de sécurité est toujours possible, et donc minimiser sa propagation, c’est-à-dire réduire la surface d’attaque grâce à la micro-segmentation, au chiffrement de bout en bout, à la surveillance continue et à la possible automatisation de la remédiation.

Ce qui est également très important, c’est d’implémenter le Zero Trust en s’adaptant au niveau de maturité de chaque organisation et en veillant à ce que les utilisateurs soient guidés et accompagnés. C’est pourquoi nous avons défini un modèle de maturité qui distingue trois stades – « Démarrage », « Avancé » et « Optimal » – en fonction desquels on peut mettre en place des dispositifs plus ou moins sophistiqués. 

Le Zero Trust est incontournable, mais son implémentation ne doit pas désorganiser le travail ni nuire à la productivité. Il faut donc procéder « en douceur », en partant de l’existant puis en l’améliorant au fil des mois selon les priorités du client.

Cet enjeu primordial, celui d’un voyage progressif et accompagné vers le Zero Trust, fait d’ailleurs écho à l’approche de Claranet avec ses « cartes de modernisation »…

Guillaume Tourne, Partner & Cloud Technology Strategist, Microsoft France