Zero Trust, sur la voie de la maturité

Un modèle indispensable

Si le modèle Zero Trust a connu une adoption rapide dès son introduction, celle-ci a été nettement accélérée par la crise sanitaire : il a en effet facilité le déploiement rapide, sécurisé et à grande échelle du télétravail. Ainsi ces dernières années, le modèle Zero Trust n’a cessé de démontrer sa pertinence et son efficacité dans l’environnement technologique et sécuritaire actuel.

L’essentiel des besoins est aujourd’hui couvert et, devenue l’approche incontournable en matière de cybersécurité, il est désormais mis en œuvre massivement par des acteurs de plus en plus matures sur le sujet : les éditeurs envisagent dorénavant la sécurité sous cet angle et s’unissent pour développer des standards (OCSF, Open XDR Platform…), les entreprises utilisatrices ne se limitent plus seulement à la banque et l’assurance, traditionnellement en pointe sur la sécurité, et les autorités commencent à en faire une exigence réglementaire (CISA aux États-Unis, NCSC au Royaume-Uni, NIS2 en Europe…).

Une approche en amélioration continue

La nécessité de tout vérifier

Au-delà des cas d’usage usuels, désormais bien couverts, le modèle cherche à se perfectionner, avec l’objectif notamment de parvenir à véritablement tout vérifier.

Les solutions disponibles actuellement ne sont en effet pas encore toutes matures puisqu’elles ne permettent pas de vérifier les conditions d’accès post attribution d’un jeton de session (ou token). Ceci est dû à 2 raisons principales : les éditeurs, d’une part, commencent à peine à se saisir du sujet pour améliorer la maturité de leurs solutions. D’autre part, les applications dites “legacy” mettent toujours en œuvre d’anciens protocoles d’authentification qui ne permettent pas de s’assurer tout au long de la session que les conditions d’accès de l’utilisateur restent respectées.

Tous les environnements ne se prêtent pas non plus aux méthodes préconisées par le Zero Trust. Ainsi par exemple, alors que l’authentification multifacteurs (MFA) est l’un des moyens permettant d’atteindre un premier niveau de maturité Zero Trust, pour certains systèmes industriels (OT), les modes de connexion aux machines ne permettent pas toujours de l’appliquer.

Le besoin de parfaire le modèle

Avec l’augmentation de la maturité des entités ayant adopté cette approche, des réflexions sont ainsi en cours autour des technologies ayant permis l’essor du Zero Trust, pour parfaire le modèle.

Par exemple, des solutions incontournables comme CASB (Cloud Access Service Broker, service de sécurité en mode SaaS permettant en priorité de contrôler le Shadow IT) ou SASE (Secure Access Service Edge, approche de rapprochement des sujets réseau type SD-WAN avec des fonctions de sécurité périmétrique en mode SaaS) impliquant d’accorder sa confiance à un tiers, vont à l’encontre du principe du Zero Trust.

Pouvoir déléguer sa sécurité à un spécialiste bien préparé et bien outillé pour un coût raisonnable constitue un immense progrès, mais cela engendre, en contrepartie, une vulnérabilité sur la confidentialité des données. Dans certains domaines sensibles comme la défense, l’administration ou la santé, ce risque résiduel, même minime, n’est pas toujours acceptable. C’est pourquoi on voit aujourd’hui apparaître des solutions de surveillance aveugles au contenu (Zero Knowledge Network, permettant par exemple à une personne de prouver son identité sans avoir à la révéler.), complémentaires au Zero Trust et venant le renforcer.

Un autre exemple concerne la prise de conscience de plus en plus importante de la fréquente nécessité d’établir un lien entre identité digitale et identité régalienne. De nouvelles solutions apparaissent pour combler ce manque, avec le support des entités gouvernementales dans tous les pays.

Une philosophie à adopter d’urgence

Si le modèle continue de se perfectionner, il est indispensable que les organisations lancent leurs propres réflexions autour du Zero Trust afin de juger de la pertinence du modèle au regard de leurs contextes spécifiques. La mise en œuvre de Zero Trust sera ensuite une démarche au long cours, jalonnée de pauses régulières qui permettront de faire le point et d’ajuster si nécessaire l’approche en fonction de l’évolution des technologies et des risques.

Chaque organisation devra également :

• Personnaliser son approche : en définissant sa propre taxonomie sur le Zero Trust, et la liste des piliers à couvrir (généralement, identité, réseau, poste de travail)
• S’approprier le modèle pour l’adapter au mieux à son contexte métier et réglementaire, à ses systèmes, ou encore à ses usages. Cela passera entre autres par une définition précise des périmètres IT à intégrer dans cette stratégie, un maturity assessment, et par la définition d’une roadmap de mise en place du modèle avec montée progressive en maturité.