En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Le modèle Zero Trust : un investissement d’avenir pour les services publics

Par Edouard Camoin, VP Resilience chez 3DS OUTSCALE et expert ENISA

Publication: 31 mai

Partagez sur
 
Les enjeux autour de la sécurité numérique n’ont jamais été aussi forts. Ce n’est d’ailleurs pas sans raison que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a bénéficié d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022...
 

Certes, des fonds sont alloués à cette question essentielle, mais il conviendrait de s’interroger sur les schémas à appliquer pour que cet investissement soit véritablement efficace. À ce titre, le Zero Trust semble s’imposer comme un modèle à déployer pour tous les aspects éminemment stratégiques qu’il induit.

Aujourd’hui la cybersécurité n’est plus un sujet exclusivement réservé à une petite sphère d’érudits de l’informatique ou des personnes sortant du MIT. De fait, il est constaté qu’il intéresse de plus en plus de monde et qu’il s’agit d’une question prioritaire pour une majorité d’individus, d’entreprises et d’institutions. Le Zero Trust, par son principe même « ne jamais faire confiance, toujours vérifier », paraît être l’une des réponses à ce besoin de sécurité augmentée qui vise aussi bien les entreprises que les individus. Par voie de conséquence, les services publics ne sont pas exclus et sont même directement concernés par la démarche.

Une sécurité renforcée adaptée aux problématiques actuelles

D’une part, le modèle Zero Trust est comme un agent de sécurité qui vérifie méthodiquement les identifiants d’un individu pour lui permettre d’accéder à son bureau, même s’il le reconnaît et à chaque nouvelle action de sa part. Il repose donc sur l’authentification et l’autorisation systématiques de chaque utilisateur et de son appareil, consistant ainsi à réduire tout risque d’accès ou de transfert de données sur un réseau privé. Cette approche, qui rend celle du “château fort” obsolète (toute personne extérieure au réseau ou hors du château est nuisible, alors que toute personne à l’intérieur est légitime), est radicale, mais est en phase avec les dangers actuels qui ont pu émerger avec le télétravail et l’essor du cloud. Elle bloque les accès inappropriés et déplacements latéraux au sein d’un environnement, et par le chiffrement de l’information édifie des cloisons de plus en plus fortes.

D’autre part, au-delà de diminuer les risques de violation de données, l’architecture Zero Trust permet de segmenter de manière chirurgicale les droits et par conséquent de créer des périmètres autour de certaines données sensibles pour avoir une meilleure visibilité sur celles qui sont réglementées et celles qui ne le sont pas. Elle offre ainsi la possibilité de les sécuriser en tout lieu, que ce soit dans un data center ou dans des environnements hybrides. En somme, le Zero Trust a pour principale mission de déjouer les menaces courantes par une micro-segmentation qui implique une mutation des frontières : tout se résume à des applications et des utilisateurs qui doivent montrer patte blanche pour pouvoir obtenir leur droit d’accès.

Le Zero Trust accompagne la conduite du changement

“Le Zero Trust est un état d’esprit, quasiment une philosophie.”* Pour être implémenté avec succès et moins coûteux, ce modèle doit être pensé en amont et faire partie intégrante de la réflexion structurelle d’une organisation. Il nécessite une démarche de transformation profonde qui va englober plusieurs domaines : infrastructure, réseau, sécurité, applicatifs, cloud… et des prérequis (méthodes d’authentification robustes, contrôle des utilisateurs de l’environnement et du trafic…).

“Le concept du Zero Trust n’entre pas en contradiction avec les principes conventionnels de la sécurité numérique. Ce qui change, c’est le fait qu’ils s’appliquent à tous les systèmes.”* Il oblige à se poser les bonnes questions pour préparer l’avenir et faire face aux enjeux de demain. Quelles bases pour les futurs réseaux ? Comment faire évoluer les dispositifs et quelles sont les changements à envisager avec la biométrie qui va progressivement se développer  ? Avec la migration des applications dans le cloud et l’utilisation des applications SaaS, comment gérer la bascule vers le tout Internet ?

Si le Zero Trust peut sembler contraignant, le processus conduit à une gestion dynamique en temps réel des accès et des identités. Il fournira aussi à l’équipe de sécurité une vue d’ensemble du périmètre de vulnérabilité qui servira à améliorer l’expérience des utilisateurs. À l’heure d’un numérique dominant et de son expansion inévitable, force est de constater que les services publics ont presque le devoir de se l’approprier pour se prémunir contre d’éventuelles attaques et rassurer la population.

https://fr.outscale.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: