L'ironie de la confiance zéro

Par Kris Lovejoy

La confiance zéro est l'une des expressions les moins comprises, mais les plus à la mode dans le domaine de la cybersécurité. En regardant ces dernières années, on peut facilement comprendre pourquoi. Aujourd'hui, la confiance se fait rare. Compte tenu de l'augmentation exponentielle des attaques de rançongiciels et de cryptominage pirate, ainsi que des tensions géopolitiques croissantes, nous vivons une période délicate, en particulier lorsqu'il s'agit de gérer une entreprise. Il n'est donc pas surprenant que le concept de « confiance zéro » et ses implications présumées s'adressent à un large éventail d'entreprises.

L'ironie de la chose, c'est que pour mettre en place un cadre de confiance zéro, il faut disposer d'un référentiel d'identités, de biens, d'applications et de réseaux hautement validés sur lesquels on peut compter. 

Alors, que signifie exactement la confiance zéro?

Si les thèmes des conversations sur la cybersécurité ont changé - de l'explosion de la répartition du personnel en période de pandémie à l'évolution vers des infrastructures infonuagiques hybrides - il n'en va pas de même pour le terme « confiance zéro ». Formulé pour la première fois en 1994, ce concept a ensuite été développé par John Kindervag, ex-analyste chez Forrester, pour devenir une philosophie holistique de la sécurité. Ce terme a déjà fait le tour du secteur sous la forme de politiques de « refus par défaut » ou de « ne jamais faire confiance, toujours vérifier ». 

En termes simples, la confiance zéro est une stratégie de sécurité. Plus généralement, il s'agit d'un état d'esprit en matière de sécurité à l'échelle de l'entreprise, qui considère tous les points terminaux et tous les comptes comme non fiables. Alors que d'autres systèmes de sécurité - tels que la philosophie de périmètre autrefois privilégiée - peuvent n'exiger qu'une authentification à deux facteurs ou par localisation, avec la confiance zéro, les utilisateurs et les applications n'ont accès qu'au moment et à l'endroit où ils en ont besoin.

En refusant l'accès par défaut, une approche de confiance zéro impose un système dynamique et continu de vérification des utilisateurs et de leurs appareils. Dans le contexte actuel, où les atteintes à la protection des données ne sont plus une question de « si » mais de « quand », la confiance zéro permet aux entreprises de mieux protéger les données et de minimiser l'impact potentiel d'une attaque, tout en facilitant une réponse plus localisée et plus rapide. 

Hôtel à périmètre ou hôtel à confiance zéro

Imaginez que le réseau de votre entreprise soit un hôtel dont l'accès aux chambres est contrôlé par une carte-clé. Auparavant, lorsque les visiteurs se présentaient à l'hôtel - appelons-le l'hôtel à périmètre - ils passaient par une brève procédure de vérification d'identité avant de recevoir leur carte-clé. Avec cette carte-clé en main, ils avaient plus ou moins carte blanche et pouvaient accéder à toutes les chambres de l'hôtel, à l'exception de celles qui étaient spécifiquement verrouillées.

Cependant, lorsque les visiteurs se présentent à l'hôtel à confiance zéro, la situation est inversée. Même après le processus de contrôle beaucoup plus poussé de l'hôtel, la carte-clé du visiteur n'est plus un laissez-passer. Cette fois, toutes les portes leur sont fermées, à l'exception de celles qui ont été spécifiquement déverrouillées. Ils peuvent demander l'accès à certaines de ces portes déverrouillées, mais cet accès ne leur sera accordé qu'en cas d'absolue nécessité. 

En fait, dans l'hôtel à confiance zéro, la carte-clé a encore moins de pouvoir que cela. Les visiteurs y accèdent en vérifiant leur identité à l'aide de nombreux facteurs différents, tous beaucoup plus rigoureux que ce petit rectangle de plastique, si facile à perdre ou à voler. Le visiteur n'a donc pas besoin de fouiller dans ses bagages pour trouver cette fameuse carte-clé et a l'assurance que la pièce dans laquelle il entre est exactement celle dans laquelle il doit se trouver.

Le propriétaire de l'hôtel peut désormais dormir sur ses deux oreilles, sachant que son établissement est aussi sûr que possible et qu'il continue à fonctionner comme prévu. 

C'est là que réside l'ironie de la confiance zéro

Pour qu'une architecture de confiance zéro fonctionne, une entreprise doit pouvoir se fier au référentiel d'identités, de biens, d'applications et de réseaux hautement validé mentionné plus haut. En d'autres termes, dans les cadres de sécurité - pour la vérification, le contrôle et le stockage des données - qui constituent cette approche globale. 

Chez Kyndryl, nous voyons la confiance zéro comme cinq piliers de sécurité intégrés : identité, appareil, réseau, application et données. Dans la plupart des entreprises, les systèmes de cybersécurité sont cloisonnés : un département s'occupe des vérifications d'identité, un autre de la sécurité des points terminaux, un autre encore du pare-feu, et ainsi de suite. Avec la confiance zéro, la sécurité devient un système intégré à 360 degrés où la communication et la collaboration entre ces piliers ou départements sont essentielles et où les identités, les mots de passe et les biens du réseau sont centralisés dans des référentiels de confiance.

C'est simple en théorie - jusqu'à ce qu'il soit temps de les mettre en pratique 

La difficulté réside en partie dans le fait que la confiance zéro exige un changement fondamental de l'état d'esprit en matière de sécurité au niveau de l'organisation. La première étape consiste à cesser de concevoir cette approche comme une politique ou un produit à guichet unique. Elle doit plutôt être considérée comme un processus de sécurité dynamique et évolutif, sans point terminal fixe.

C'est l'un des plus grands défis du système. Mais c'est aussi l'un des plus grands avantages de la confiance zéro. En adoptant cette politique adaptative et axée sur les risques, les entreprises sont à même de mettre en place un ensemble de mesures de sécurité adaptées à leurs besoins et objectifs en constante évolution. C'est pourquoi chez Kyndryl, nous adoptons une approche individualisée et progressive pour aligner la confiance zéro sur les profils de risque individuels de chaque entreprise ainsi que sur leurs principales initiatives de transformation informatique, en nous concentrant sur ce qui compte le plus pour la sécurité et l'avenir de l'entreprise. 

Dans ce monde en constante évolution et en ces temps d'incertitude, il peut être difficile, voire impossible, de décider à quoi et à qui faire confiance - et à quel moment. En matière de cybersécurité, la confiance zéro est la meilleure réponse que nous ayons pour prendre ces décisions.

Cliquez ci-dessous pour écouter mes collègues de Kyndryl et moi-même discuter de la façon dont le paysage des menaces en évolution peut avoir un impact sur votre stratégie de cybersécurité.