En 2016, l’université de Californie à Berkeley produisait 4 scénarios prospectifs sur le cyberespace, dont l’un était intitulé “the new normal”. Il y était imaginé qu’en 2020, l’espace numérique serait un nouveau Far West où la loi de la jungle prédominerait largement : fuites de données à large échelle, collaboration internationale accrue entre les attaquants, escalade des tensions, cadre juridique insuffisant ou
défaillant etc.
8 ans plus tard, ce sombre panorama est en partie devenu réalité : si les solutions, qu’elles soient d’essence diplomatique, organisationnelle ou technique, ont largement progressé, force est en effet de reconnaître qu’elles peinent encore à faire face à la croissance exponentielle de notre surface d’exposition et, en corollaire, à celle des menaces.
Résultat : la confiance des utilisateurs s’est érodée. En France, ils n’étaient ainsi que 43 % à déclarer “avoir une totale confiance” dans le numérique dans le dernier baromètre de l’ACSEL (contre 46 % en 2022).
Cette méfiance grandissante peut inquiéter car elle risque de freiner l’adoption de certains usages. Elle incite en même temps à la prudence, or l’on sait que la prudence est mère de cybersécurité. Confiance et sécurité ont ainsi toujours entretenu une relation ambivalente : Il n’y a pas de confiance sans cybersécurité ; la cybersécurité repose de plus en plus sur l’absence d’une confiance accordée a priori, voire une méfiance préalable.
C'est là le paradoxe du modèle “zéro trust” que de créer de la confiance par l'absence de confiance, voire par la méfiance préalable. Mais c’est sans doute le prix à payer pour un monde numérique plus sûr.
Qu'on le veuille ou non et quel que soit le nom qu'on lui donne, ce modèle pénètre petit à petit toutes nos organisations et va devenir notre quotidien. Nous devrons de plus en plus nous authentifier très régulièrement via des systèmes multi-facteurs. Nos faits et gestes dans l’espace numérique seront de plus en plus analysés. Et l’anonymat - très théorique en réalité - dont nous bénéficions en ligne reculera de plus en plus au profit du pseudonymat ou d’un anonymat réversible.
Ce qui est valable dans l’espace numérique se vérifie d’ailleurs aussi dans le monde réel : dans un mode de plus transactionnel et dématérialisé, les relations entre les individus, les organisations ou les Etats s’établissent de plus en plus sur la base d’une confiance explicite, s’appuyant sur des contrôles d’identité, des critères de conformité, des vérifications, des due diligence, des background check etc. Pourquoi en serait-il différemment dans l’espace numérique ?
Ce modèle peut bien sûr inquiéter. Certains peuvent même avoir la sensation que l’on sacrifie quelques libertés sur l’autel de la sécurité. Certes. Et il est indispensable d’encadrer cette évolution qui pourrait, si nous n’y prenons garde, nous faire basculer dans une forme de totalitarisme numérique, déjà à l'œuvre dans certains Etats. Mais admettons que le contexte a changé et que la naïveté face à la sophistication et à la multiplication des menaces n’est plus de mise.
Autre critique à l’endroit du “zéro trust” : ce modèle conceptuel, théorisé par John Kindervag, analyste chez Forrester, en 2010, ne ferait que recycler des concepts déjà connus depuis longtemps pour faciliter la tâche des “vendors”. Bref, de faire du neuf avec du vieux ! Pire, le zéro trust procurerait une illusion de sécurité, complexifierait l’expérience utilisateur et serait techniquement très difficile à déployer. Certes. Mais là aussi, même s’il y a une part de réalité dans ces critiques, le modèle est vertueux dès lors qu'on le confronte aux réalités terrain, que l'on aborde le zéro trust comme une transformation globale, pas uniquement technique.
Par ailleurs, les multiples domaines technologiques sur lesquels le modèle s’appuie (identification et authentification, gestion des identités et des accès, chiffrement, analyse comportementale, détection et réaction, micro-segmentation, invisibilité, leur rage etc.) ont largement progressé. La promesse d’apporter une sécurité multicouche et granulaire centrée sur les extrémités n’est donc plus inaccessible si l’on s’en donne les moyens.
Par Guillaume Tissier, Directeur du Forum InCyber Europe