Passer au contenu

Zero Trust, sur la voie de la maturité

Abdembi Miraoui et Jérôme Desbonnet
17 janvier 2024

Le modèle de cybersécurité Zero Trust repose sur un principe simple mais radical : ne faire confiance à personne, tout vérifier (never trust, always verify).

Souvent perçue comme très novatrice, cette approche s’appuie largement sur de bonnes pratiques en fait déjà connues, comme par exemple celle du moindre privilège. En revanche, elle insiste particulièrement sur l’identité, qui permet de se défaire de la logique périmétrique qui prévalait autrefois.

Un modèle indispensable

Si le modèle Zero Trust a connu une adoption rapide dès son introduction, celle-ci a été nettement accélérée par la crise sanitaire : il a en effet facilité le déploiement rapide, sécurisé et à grande échelle du télétravail. Ainsi ces dernières années, le modèle Zero Trust n’a cessé de démontrer sa pertinence et son efficacité dans l’environnement technologique et sécuritaire actuel.

L’essentiel des besoins est aujourd’hui couvert et, devenue l’approche incontournable en matière de cybersécurité, il est désormais mis en œuvre massivement par des acteurs de plus en plus matures sur le sujet : les éditeurs envisagent dorénavant la sécurité sous cet angle et s’unissent pour développer des standards (OCSF, Open XDR Platform…), les entreprises utilisatrices ne se limitent plus seulement à la banque et l’assurance, traditionnellement en pointe sur la sécurité, et les autorités commencent à en faire une exigence réglementaire (CISA aux États-Unis, NCSC au Royaume-Uni, NIS2 en Europe…).

Une approche en amélioration continue

La nécessité de tout vérifier

Au-delà des cas d’usage usuels, désormais bien couverts, le modèle cherche à se perfectionner, avec l’objectif notamment de parvenir à véritablement tout vérifier.

Les solutions disponibles actuellement ne sont en effet pas encore toutes matures puisqu’elles ne permettent pas de vérifier les conditions d’accès post attribution d’un jeton de session (ou token). Ceci est dû à 2 raisons principales : les éditeurs, d’une part, commencent à peine à se saisir du sujet pour améliorer la maturité de leurs solutions. D’autre part, les applications dites “legacy” mettent toujours en œuvre d’anciens protocoles d’authentification qui ne permettent pas de s’assurer tout au long de la session que les conditions d’accès de l’utilisateur restent respectées.

Tous les environnements ne se prêtent pas non plus aux méthodes préconisées par le Zero Trust. Ainsi par exemple, alors que l’authentification multifacteurs (MFA) est l’un des moyens permettant d’atteindre un premier niveau de maturité Zero Trust, pour certains systèmes industriels (OT), les modes de connexion aux machines ne permettent pas toujours de l’appliquer.

Le besoin de parfaire le modèle

Avec l’augmentation de la maturité des entités ayant adopté cette approche, des réflexions sont ainsi en cours autour des technologies ayant permis l’essor du Zero Trust, pour parfaire le modèle.

Par exemple, des solutions incontournables comme CASB (Cloud Access Service Broker, service de sécurité en mode SaaS permettant en priorité de contrôler le Shadow IT) ou SASE (Secure Access Service Edge, approche de rapprochement des sujets réseau type SD-WAN avec des fonctions de sécurité périmétrique en mode SaaS) impliquant d’accorder sa confiance à un tiers, vont à l’encontre du principe du Zero Trust.

Pouvoir déléguer sa sécurité à un spécialiste bien préparé et bien outillé pour un coût raisonnable constitue un immense progrès, mais cela engendre, en contrepartie, une vulnérabilité sur la confidentialité des données. Dans certains domaines sensibles comme la défense, l’administration ou la santé, ce risque résiduel, même minime, n’est pas toujours acceptable. C’est pourquoi on voit aujourd’hui apparaître des solutions de surveillance aveugles au contenu (Zero Knowledge Network, permettant par exemple à une personne de prouver son identité sans avoir à la révéler.), complémentaires au Zero Trust et venant le renforcer.

Un autre exemple concerne la prise de conscience de plus en plus importante de la fréquente nécessité d’établir un lien entre identité digitale et identité régalienne. De nouvelles solutions apparaissent pour combler ce manque, avec le support des entités gouvernementales dans tous les pays.

Une philosophie à adopter d’urgence

Si le modèle continue de se perfectionner, il est indispensable que les organisations lancent leurs propres réflexions autour du Zero Trust afin de juger de la pertinence du modèle au regard de leurs contextes spécifiques. La mise en œuvre de Zero Trust sera ensuite une démarche au long cours, jalonnée de pauses régulières qui permettront de faire le point et d’ajuster si nécessaire l’approche en fonction de l’évolution des technologies et des risques.

Chaque organisation devra également :

  • Personnaliser son approche : en définissant sa propre taxonomie sur le Zero Trust, et la liste des piliers à couvrir (généralement, identité, réseau, poste de travail)
  • S’approprier le modèle pour l’adapter au mieux à son contexte métier et réglementaire, à ses systèmes, ou encore à ses usages. Cela passera entre autres par une définition précise des périmètres IT à intégrer dans cette stratégie, un maturity assessment, et par la définition d’une roadmap de mise en place du modèle avec montée progressive en maturité.

Auteurs

Abdembi Miraoui

Co-Head of Service Line “Cloud, Endpoint & Infrastructure Security”
Abdembi est un expert dans le domaine de la cybersécurité, avec une expertise particulière dans les sujets clés tels que le Cloud, les Endpoints et l’infrastructure. Il est responsable de la service line cybersécurité “Cloud, Endpoint & Infrastructure Security” au sein de l’entité cybersécurité du groupe. Grâce à ses connaissances pointues et son expérience approfondie acquise depuis plus de 15 ans. Abdembi est capable de fournir des conseils avisés sur les enjeux de cybersécurité les plus complexes. Il est passionné par sa mission de protéger les entreprises contre les cybermenaces et de renforcer la résilience de leurs systèmes.

Jérôme Desbonnet

VP, Cybersecurity CTIO,Insights & Data, Capgemini
Je crée des modèles d’architecture de sécurité. Je planifie et exécute d’importants programmes de sécurité afin de garantir que nos clients sont bien protégés.
    Pour aller plus loin

    Cybersécurité

    Faites de la cybersécurité votre moteur de transformation.