Il est urgent de repenser la technologie alors que les entreprises ont encore du mal à tirer pleinement parti des avantages du contrôle d’accès Zero Trust.
L’approche Zero Trust du contrôle d’accès en matière de cybersécurité existe depuis plus de 15 ans, mais les organisations continuent de rencontrer des difficultés pour sa mise en œuvre, en grande partie à cause de la fragmentation des outils et de l’infrastructure existante.
La mise en réseau Zero Trust implique l’application d’un cadre de sécurité dans lequel aucun utilisateur ou appareil n’est approuvé par défaut. En régime Zero Trust, chaque tentative d’accès s’accompagne d’une authentification de l’identité et de la conformité des appareils, qu’elle provienne ou non d’une organisation.
Cette approche contraste avec les modèles traditionnels « château et fossé » dans lesquels les appareils au sein d’un réseau d’entreprise étaient approuvés par défaut.
De nombreuses entreprises ont progressé lentement sur la voie du zéro confiance, en grande partie parce que la mise en œuvre nécessite un changement fondamental à la fois dans la mentalité et dans l’infrastructure. Les principaux obstacles comprennent :
- Les systèmes existants qui n’ont pas été conçus pour les principes de confiance zéro,
- Des outils d’identité et d’accès fragmentés qui rendent difficile une application unifiée, et
- Résistance culturelle et organisationnelle au changement des modèles de confiance de longue date.
Kyle Wickert, directeur technique chez AlgoSec, affirme que la confiance zéro reste l’une des transformations les plus mal comprises en matière de cybersécurité.
« De nombreuses organisations hésitent encore à s’y lancer car elles associent le zéro confiance à des architectures rigides, à une complexité opérationnelle et à des coûts de mise en œuvre élevés », explique Wickert. « Cette perception est ancrée dans l’époque de la réattribution des adresses IP, de la refonte du routage, de la refonte des VLAN ou du recâblage physique des environnements simplement pour appliquer des politiques de segmentation. »
La transition de l’ensemble du secteur vers des centres de données définis par logiciel et pilotés par le cloud a levé les défis existants tout en créant de nouveaux problèmes sous la forme d’une complexité croissante des politiques et des applications.
« L’un des plus grands obstacles au Zero Trust à grande échelle n’est plus l’infrastructure : c’est le défi de définir, gouverner et maintenir des politiques qui s’adaptent aux réseaux hybrides, couvrant les pare-feu sur site, les contrôles natifs du cloud, les technologies SDN, SD-WAN et SASE », explique Wickert. « Le moyen le plus efficace de surmonter ces défis consiste à déplacer l’accent de la segmentation des « appareils et sous-réseaux » vers les applications et leur connectivité. »
Richard Holland, RSSI de terrain chez Quorum Cyber, une société de cybersécurité spécialisée dans la cybersécurité, affirme que la confiance zéro représente une méthode pour améliorer la santé de la sécurité d’une organisation plutôt qu’un ensemble de produits et de services.
«Je dirais que la technologie permettant d’atteindre le zéro confiance existe depuis un certain temps et que les RSSI et les DSI se sont peut-être déjà retrouvés sur une feuille de route sans se rendre compte qu’il s’agit d’un zéro confiance», déclare Holland. « En traitant la confiance zéro comme un parcours visant à améliorer la santé de la cybersécurité, et en prenant de petites portions, vous pouvez parcourir une série d’améliorations dans une succession relativement rapide. »
D’autres experts en cybersécurité affirment que les migrations Zero Trust offrent la possibilité de soutenir des projets de transformation informatique plus ambitieux.
Stephen Fridakis, RSSI en résidence chez Cyderes, affirme que le passage des règles basées sur le réseau aux règles basées sur l’identité inhérentes aux mises en œuvre Zero Trust offre une feuille de route vers des architectures d’entreprise « plus sûres, plus simples et plus durables ».
« Les plages IP, les VLAN et les emplacements physiques sont fragiles et vieillissent mal, en particulier avec le taux de désabonnement des fusions et acquisitions et l’adoption du cloud », explique Fridakis. « L’accès basé sur l’identité suit l’utilisateur et l’appareil, pas le réseau. »
Il ajoute : « Cela élimine la prolifération des pare-feu, réduit les frais d’ingénierie et applique l’intention plutôt que l’infrastructure. »
Soyez sage
George Finney, RSSI de l’Université du Texas, a discuté de la confiance zéro avec des centaines de responsables de la sécurité. Ces conversations ont révélé plusieurs dénominateurs communs expliquant pourquoi les projets Zero Trust échouent.
Premièrement, la politique interne peut potentiellement faire dérailler la mise en œuvre du modèle Zero Trust. « Dans une entreprise, la technologie est généralement exploitée et supportée en silos », explique Finney. « Ces différents domaines peuvent ne pas comprendre la situation dans son ensemble quant au risque que pourrait représenter une violation de la cybersécurité et résister au changement. »
À l’inverse, dans les organisations qui ont réussi à passer au modèle Zero Trust, « les dirigeants de tous les domaines conviennent que la sécurité est un élément essentiel du succès de l’organisation dans son ensemble », explique Finney.
Selon Finney, une éducation insuffisante peut également constituer un obstacle au déploiement réussi des technologies Zero Trust.
« Lancer un projet Zero Trust nécessite plus que simplement changer la conception d’un réseau ou modifier certains paramètres d’une application », explique-t-il. « Tous les membres de l’équipe doivent comprendre ce qu’est la confiance zéro, pourquoi l’organisation le fait et quel rôle ils joueront pour la soutenir. »
« Cela signifie que tout projet Zero Trust doit commencer par une éducation visant à contribuer à changer non seulement la technologie, mais également la culture de l’organisation », ajoute-t-il.
Gary Brickhouse, RSSI chez GuidePoint Security, note qu’une « approche trop complexe » du zéro confiance a fait augmenter les coûts et les délais alors que les organisations cherchent à s’aligner trop strictement sur les principes du zéro confiance.
« La plupart des organisations bénéficieraient d’une approche simplifiée basée sur les risques, identifiant les cas d’utilisation critiques réalisables et produisant le résultat souhaité en matière de réduction des risques », explique Brickhouse. « Les premières victoires améliorant la sécurité de l’organisation et la progression vers le ZT (zéro confiance) renforcent la confiance dans l’ensemble de l’organisation. »
Rob Forbes, RSSI chez Stratascale, conseille aux responsables de la sécurité d’élaborer une feuille de route stratégique avant de se lancer dans un projet Zero Trust.
« (Les RSSI devraient) commencer par une évaluation complète de leur posture et de leurs actifs de sécurité actuels », conseille Forbes. « Ensuite, élaborez une feuille de route pour la mise en œuvre du modèle Zero Trust, en donnant la priorité aux actifs critiques et aux zones à haut risque. »
Ces étapes devraient être suivies d’investissements dans la formation et les outils pour soutenir la transition vers un modèle de confiance zéro, qui devrait pouvoir être peaufiné à mesure que les besoins évoluent.
« (Les entreprises devraient) revoir et mettre à jour régulièrement leur stratégie de confiance zéro pour s’adapter aux nouvelles menaces et technologies », ajoute Forbes.
L’IA « renforce » le paradigme de confiance zéro
À mesure que l’IA agentique est de plus en plus intégrée dans l’entreprise, les principes standards de confiance zéro doivent être étendus pour assurer la sécurité de l’entreprise.
D’ici 2027, la croissance des agents IA poussera 50 % des DSI à restructurer et automatiser la gestion des identités, des accès aux données et des autorisations afin de réduire les abus et les fuites dans le cadre d’une architecture Zero Trust, selon le cabinet d’analystes industriels IDC.
Les experts en sécurité appellent les organisations à mettre en œuvre une nouvelle vague de confiance zéro, s’étendant au-delà des personnes et des appareils pour inclure les agents IA. En pratique, cela signifie appliquer des limites de contexte strictes, des contrôles de domaine de confiance et des examens de sécurité spécifiques à l’IA.
« L’IA fonctionne dans le cadre des règles fondamentales de la cybersécurité, et les attaques ne fonctionnent que s’il y a une porte ouverte », affirme Kindervag.
Le plus grand risque vient des modèles d’IA, selon Kindervag.
« Les modèles d’IA peuvent devenir un handicap s’ils ne sont pas régis par une confiance zéro », dit-il. « Si une organisation ne traite pas ses modèles d’IA comme des surfaces de protection, elle risque d’être manipulée, empoisonnée ou volée. »
Dans la plupart des cas, l’IA prend en charge la mise en œuvre du modèle Zero Trust.
« Une bonne IA met en évidence les modèles de communication à haut risque, fait apparaître des comportements inhabituels et accélère des processus tels que l’étiquetage et la mise en œuvre des politiques », explique Kindervag. « L’IA peut aider à chaque étape de la méthodologie en cinq étapes Zero Trust, mais elle aide vraiment les organisations à aller au-delà de la résilience et à lutter contre la fragilité. »
