Bon, le concept « Zero Trust » (que l’on pourrait littéralement traduire par « ne faire confiance à rien ni personne »), vous en avez certainement déjà entendu parler, notamment lors de la période Covid. Et le sujet est toujours d’actualité, puisque le télétravail s’est largement démocratisé, que l’IT est plus que jamais éclaté (cloud, multi-cloud, conteneurs, SaaS, etc.), et que la notion de « confiance implicite » dans les réseaux internes a tout bonnement explosé. Du coup, place au Zero Trust. Et si, loin d’être un énième truc cyber avant-gardiste, c’était en fait juste… du bon sens remis au goût du jour ?

L’ère du périmètre est révolue

Il fut un temps (pas si lointain) où l’on se disait : « On protège le château, on met un gros mur autour (firewall), et tout ce qui est derrière est en zone de confiance. »

Or, l’explosion du SaaS et du parc applicatif et le télétravail, ont notamment rendu ce concept caduque : le périmètre bouge, s’étire, se fragmente.

Inutile donc de consolider votre le gros mur autour de votre IT si la moitié des machines s’y connectent depuis l’extérieur ou si les données circulent via des services tiers.

En plus, la plupart des menaces ne sont généralement pas extrêmement sophistiquées, elles exploitent la plupart du temps des failles humaines ou des configurations hasardeuses.

L’idée « d’un intérieur forcément plus sûr que l’extérieur » est donc une vision de la sécurité IT totalement dépassée.

Zero Trust : une nouvelle évidence

Avec Zero Trust, on part d’un principe radical : on ne fait d’emblée confiance à rien, ni à personne. Chaque entité (utilisateur, appli, machine) doit prouver son identité et ses droits d’accès pour chaque action, en toutes circonstances.

Ça parait un peu rigide et bien relou de prime abord, je vous le concède, mais c’est surtout le meilleur moyen d’éviter que la moindre compromission s’étende comme une traînée de poudre.

Trois piliers structurent cette approche :

  1. Authentification et autorisation continues : On ne se contente pas d’authentifier à la connexion. On vérifie, en permanence, que l’utilisateur ou la machine a droit à ce qu’il demande.
  2. Micro-segmentation : Au lieu d’un grand VLAN interne tout beau tout rose, on découpe le réseau en zones plus petites, pour limiter la propagation en cas d’intrusion.
  3. Visibilité et auditabilité : On log tout, on surveille les comportements, on détecte les anomalies. En gros, tout est suspect jusqu’à preuve du contraire.

Oui oui, on est clairement sur de la parano ou de l’hyper vigilance 😉 ! Mais au vu du contexte cyber et géopolitique actuel… c’est (malheureusement ?) le prolongement logique de la sécurité.

Les idées reçues sur Zero Trust

Maintenant, comprenons bien que cela n’a rien de sexy aux yeux des utilisateurs et que certains imaginaires continuent forcément de peser sur ce concept.

« Zero Trust, c’est un projet titanesque, on va fliquer tout le monde, c’est l’enfer pour l’UX, etc. ».

Alors oui et non.

On peut corriger quelques malentendus :

  • « Zero Trust = tout bloquer ». En vrai, on ne bloque pas, on régule juste plus finement. Les utilisateurs légitimes, dès qu’ils prouvent leur identité, accèdent aux ressources. On ne brime pas l’activité, on la contrôle mieux.
  • « Ça va alourdir mon service IT ». Certes, mettre en place l’authentification adaptative et la micro-segmentation demande un certain effort. Mais ensuite, on évite potentiellement bien des crises, et on gagne en tranquillité à long terme.
  • « C’est réservé aux grosses boîtes ». En réalité, Zero Trust est surtout une philosophie plus qu’un projet coûteux. L’idée est de commencer par segmenter ce qui est segmentable, mettre du MFA partout, restreindre les droits, auditer les accès… Ce sont des bonnes pratiques qui peuvent s’appliquer à toute structure un minimum sensible aux risques.

Pourquoi certaines entreprises hésitent encore ?

Malgré le bon sens derrière Zero Trust, on trouve forcément toujours des DSI qui traînent les pieds. Et les raisons varient :

  • La crainte du changement : tout remodeler, ça reste « effrayant ». On se dit « Nos applis legacy vont mal supporter la micro-segmentation, nos users vont râler si on leur demande un second facteur à chaque action. »
  • Le mythe du périmètre : certains se continuent de se persuader que ça n’arrive qu’aux autres, sauf que c’est finalement plus un coup de chance qu’autre chose.
  • Le manque de compétences : implémenter Zero Trust suppose de comprendre l’identité, la gestion des accès, la micro-segmentation, etc. Les équipes IT déjà surchargées peuvent percevoir ça comme « un projet de plus » sans un ROI direct évident. D’où l’importance de se faire accompagner sur le sujet par un cabinet de conseil en cybersécurité.
  • Le budget : un basculement Zero Trust implique souvent la mise en place ou la reconfiguration d’outils (authentification, IAM, SDN, etc.). Ça se budgète, mais si la direction n’est pas convaincue, ça peut coincer.

Pour convaincre, il faut souligner qu’il s’agit avant tout d’un investissement en prévention, et que le coût d’un SI bien protégé restera toujours dérisoire face au coût d’un incident.

Passer à l’action : une méthode simple et pragmatique

Zero Trust se construit graduellement, avec un plan cohérent.

Voici une esquisse d’approche en 5 étapes qui vous aidera à mieux appréhender le sujet :

Étape 1 : Cartographier et diagnostiquer

On commence par savoir qui a accès à quoi, quelles applications circulent entre quels environnements, quelles sont les dépendances critiques. Impossible de segmenter sans avoir une vue globale. Gardez en tête que la cartographie du SI est le socle de toute action de sécurisation.

Étape 2 : Sécuriser l’authentification

Le MFA devient ici non négociable. On active des solutions IAM (Identity and Access Management) capables de gérer finement les rôles et les droits. Au passage, on épure les privilèges (principe du moindre privilège), histoire de ne pas laisser un user random avec des accès admin dormants.

Étape 3 : Définir les règles de micro-segmentation

On segmente le réseau en zones logiques, en fonction des assets critiques, des flux, etc. On peut s’aider de SDN ou autres solutions plus « classiques » pour cloisonner chaque cluster d’apps et limiter l’impact d’une compromission.

Étape 4 : Mettre en place des contrôles et du monitoring

Il faut tracer les accès, détecter les comportements anormaux (un utilisateur qui se connecte depuis un pays inconnu à 3h du mat’, par exemple). On planifie des alertes, on fait du SOC (Security Operations Center) si possible, on revalide régulièrement la légitimité de chaque session.

Étape 5 : Former et communiquer

Zero Trust, ça implique un changement de mentalité. « On ne fait confiance à personne » par défaut, ça peut être pris comme « on flique tout le monde ». Pas ouf en termes de message. D’où l’importance d’expliquer les enjeux, de rassurer, et de montrer que c’est un gage de sécurité collective. Moins d’incidents, plus de tranquillité.

Globalement, le maître mot reste la progressivité. Il ne faut pas révolutionner tout le SI d’un coup. Il faut surtout un cap, histoire de savoir où on veut aller et de s’y diriger pas à pas.