Zero trust
En matière de sécurité informatique, la paranoïa a du bon
Jusqu’à présent, les techniques de protection étaient dites “périmétriques”, c’est-à-dire que les entreprises élevaient, ou faisaient élever des murs autour de leur périmètre
Partir du principe qu’il ne faut faire d’emblée confiance à personne, à aucun programme, à aucun support (tablettes, smartphone, ordinateur)… Vérifier l’identité, la localisation, de la personne qui se connecte au réseau de l’entreprise, même s’il a le bon mot de passe, s’il est dans les locaux, sur un ordinateur interne… Bref, être un peu paranoïaque, tel est le credo du zero trust, la stratégie de défense informatique qui est en train de venir compléter les solutions périphériques.
Les actualités font désormais régulièrement écho de vastes vols de données, de l’apparition de virus destructeurs ou de malwares de nouvelle génération, au côté de bonnes vieilles “fraudes au président” sans cesse sophistiquées par les hackers. Bref, l’environnement numérique des entreprises est sans cesse plus menaçant, tandis qu’elles continuent à marche forcée leurs processus de déploiement sur le web. D’où la sempiternelle question que se posent les chefs d’entreprise et leur DSI : comment se protéger des menaces du net et des hackers ? Jusqu’à présent, les techniques de protection étaient dites “périmétriques”, c’est-àdire que les entreprises élevaient, ou faisaient élever des murs autour de leur périmètre, via des pare-feu, des IPS (Intrusion prevention system), des réseaux privés virtuels (VPN).
C’était un peu la stratégie du château fort, où tous ceux qui sont à l’intérieur des murs sont sûrs, alors que ceux qui sont au dehors doivent être considérés comme des ennemis potentiels. Sauf que cette approche de la sécurité informatique est en train de voler en éclat sous l’ingéniosité des hackers, “qui ont toujours un coup d’avance sur les programmes de protection”, selon Hervé Liotaud, directeur régional pour l’Europe du Sud de SailPoint. Mais aussi par les nouvelles façons de travailler adoptées par les entreprises elles-mêmes. “L’adoption du cloud, le télétravail, le bring your own device (BYOD), la diversification des supports de travail (ordinateurs portables, téléphones, tablettes), sont en train de rendre la défense périmétrique moins efficace”, prévient Arnaud Gallut, directeur commercial Europe du sud chez Ping Identity. Force est de constater que la plupart des attaques récentes ont en fait eu lieu depuis l’intérieur des entreprises, via un salarié que les hackers auront roulé dans la farine, ou dont ils auront volé l’identité. Bref, le larcin se fait désormais dans le périmètre que les pare-feu sont censés protéger. Pour résumer, l’approche périmétrique est accusée de ne pas tenir compte des vols d’identifiants, des terminaux, du contexte de la demande d’accès, et au final de créer une impression fallacieuse de sécurité.
Ne faire confiance à personne… a priori
C’est ainsi qu’une nouvelle approche appelée “zero trust” prend aujourd’hui de l’ampleur. Derrière cette appellation un brin paranoïaque se cache toute une série de pratiques expérimentées depuis des années, mais qui sont désormais rassemblées sous une seule et même bannière. L’approche zéro trust signifie
“L’adoption du cloud, le télétravail, la diversification des supports de travail sont en train de rendre la défense périmétrique moins efficace.” Arnaud Gallut, Ping Identity.