Le zero trust : accepté mais pas tout à fait intégré
Maturité limitée des entreprises, absence de cadre législatif... Le zero trust, méthode prometteuse, peine à s'intégrer.
Présenté comme la méthode cyber la plus prometteuse et probante, le zero trust continue de séduire mais n’est pas encore pleinement intégré au sein des organisations. Les raisons ? Le relatif manque de maturité des entreprises quant au changement d’approche vis-à-vis de la cyber ainsi que l’absence d’un cadre législatif en la matière. Avec l’augmentation des cyberattaques toujours plus sophistiquées, il y a urgence à accélérer l’implémentation du zero trust au sein des organisations.
L’essayer n’est pas (encore) l’adopter
L’histoire du zero trust, démarche consistant à réduire la confiance implicite accordée aux utilisateurs et aux activités menées par le biais des équipements de l’entité, n’est, pour l’heure, pas celle des succès fulgurants qui créent presque automatiquement l’adhésion de tous. Non, l’histoire qui se déroule sous nos yeux est celle d’un paradoxe ; d’un côté on constate que près de 61% des entreprises mondiales ont mis en œuvre une initiative zero trust en 2023 selon le rapport State of zero trust 2023 d’Okta et de l’autre, l’institut Gartner qui relève dans une étude que seulement 1% des entreprises sont matures dans leur adoption de la méthode zero trust. Autrement dit, l’envie est là mais la structure des entreprises ainsi que leur process ne sont pas adaptés à sa pleine intégration.
L’idée n’est donc pas de remettre en cause l’efficacité du zero trust qui, à bien des égards, s’affirme progressivement comme la prochaine étape dans les stratégies de cybersécurité moderne mais de comprendre que son adoption contrariée et incomplète représentera à terme un problème dans la protection des systèmes des entreprises. Surtout qu’avec le recours massif au télétravail et au travail hybride en règle générale, il y a une nécessité exacerbée à s’approprier un modèle de sécurité qui peut opérer efficacement en dehors des périmètres traditionnels de l’entreprise.
Procéder bloc par bloc
Soyons transparents, peu d’entreprises peuvent se permettre de réaliser une implémentation globalisée du zero trust. Le "tout en un" est une méthode couteuse qui bouleverse significativement les process et les équipes. Du moins, cette approche est réservée aux plus grosses structures qui disposent de suffisamment de ressources humaines et financières pour mener à bien ce type de projet. On ne peut s’empêcher d’y voir une forme de logique tant ces entreprises-là sont exposées au risque cyber. Pour les autres sociétés, elles ne peuvent que procéder par bloc. Pour nombre d’entre elles, l’absence de DSI et de service juridique les oblige à appréhender le zero trust de cette façon, tout en respectant une forme de cohérence dans l’agenda des blocs à mettre en place.
Les chantiers estampillés zero trust sont nombreux et même si les entreprises ont déjà plus ou moins mis en pratique certains aspects de cette méthode, il convient d’aller plus loin. A commencer par le renforcement des accès via des solutions MFA (Multi-factor authentication) abordables ou la mise en place d’une politique de sécurité basée sur le principe du moindre privilège, autrement appelée SoD (Segregation of Duties). Parallèlement, il est recommandé d’opter pour des cloud sécurisés et plus généralement d’externaliser certains aspects de la sécurité pour compenser les limitations en ressources internes. Enfin, et c’est l’un des plus grands défis liés au zero trust, la capacité des entreprises à déployer de la segmentation réseau ainsi que de la micro-segmentation est véritablement primordiale pour isoler les systèmes critiques et limiter la propagation des menaces.
Un cadre règlementaire encore timide
C’est assurément un des gros points noirs quand on évoque le cas du zero trust. Aussi prometteur et efficace soit cette méthode, les entreprises les plus réfractaires au changement et celle dont la maturité cyber n’est pas très avancée ne se risqueront pas à tout changer s’il n’y a pas de réelle incitation. Et par là on entend des avancées significatives sur le plan règlementaire à l’échelle nationale et européenne. En l’état, le zero trust est vivement conseillé mais pas obligatoire.
Ne noircissons pas le tableau pour autant puisque l’horizon règlementaire semble désormais s’éclaircir avec l’arrivée de la nouvelle directive européenne NIS 2. Outre la volonté de déployer une mise en conformité plus coercitive pour les entreprises concernées ainsi qu’une meilleure collaboration sur les politiques de sécurité, la NIS 2 vient surtout élargir son champ d’application pour toucher davantage de secteurs d’activités répartis en deux entités : les entités essentielles et les entités importantes. Logiquement, les incitations vont se faire plus fortes et avec elles la nécessité de transitionner plus franchement vers le zero trust. Bien entendu, elle n’est pas une solution miracle et son efficacité ne doit pas être décorrélée de la vigilance des collaborateurs qui reste, quelle que soit la technologie, la première des protections. Encore faut-il qu’ils soient correctement sensibilisés.