Bien que de nombreuses organisations aient une vision de la confiance zéro, leur compréhension du concept reste confuse. Une approche unifiée des différents outils du zéro confiance permet une sécurité proactive, intégrée et contextuelle, affirme Fortinet dans un rapport.
La recrudescence des attaques cyber et leur sophistication coïncide avec la complexité de plus en plus importante des systèmes informatiques. L’entreprise distribuée, data driven et innovante, repose ses opérations sur ces systèmes hétérogènes avec comme impératif d’en protéger les accès. D’autre part, la migration vers le mode de travail hybride a mis en évidence l’intérêt du ZTNA (Zero-trust network access) pour des entreprises qui doivent protéger leurs ressources, dans un contexte de collaborateurs qui se connectent à partir de réseaux résidentiels peu sécurisés.
C’est là que l’approche zéro confiance, stipulant que personne ou appareil ou application, à l’extérieur ou à l’intérieur du pare-feu, n’est digne de confiance, à moins d’avoir vérifié et confirmé son identité, qui déterminera ses droits. Le terme zero-trust, ou zéro confiance en français, a été inventé par John Kindervag, de Forrester Research, dans un article publié en 2010. Il y explique comment les modèles traditionnels de sécurité des réseaux ne parviennent pas à fournir une protection adéquate, car ils nécessitent tous un élément de confiance. Les administrateurs doivent faire confiance aux personnes et aux appareils en divers points du réseau, et si cette confiance est violée, l’ensemble du réseau peut être mis en danger.
La confusion règne concernant le concept zéro confiance
Partant d’un tel postulat, on pourrait penser que le concept est simple à comprendre, sinon à implémenter, mais il semble que ce ne soit pas le cas. La dernière étude menée par Fortinet, Global State of Zero Trust Report, révèle une certaine confusion sur ce qu’est une stratégie zero-trust intégrale.
Les personnes interrogées déclarent comprendre ce qu’est le zero-trust (77 %) et le ZTNA (75 %), et 80 % d’entre elles indiquent disposer d’une stratégie zero-trust ou ZTNA en place ou en cours de déploiement. Cependant, les expériences des répondants avec le zéro trust indiquent des trous dans la raquette. Plus de 50 % du panel avouent une incapacité à déployer des fonctionnalités clés associées au zero-trust. Près de 60 % des répondants déclarent ne pas pouvoir authentifier les utilisateurs et les dispositifs de manière systématique, tandis que 54 % peinent à surveiller les utilisateurs en aval de leur authentification.
Une approche unifiée permet une sécurité proactive
L’étude s’interroge sur la réalité du zero-trust dans les entreprises et constate que des capacités essentielles sont parfois manquantes. D’où des solutions qui ne couvrent pas tous le périmètre fonctionnel d’une véritable solution zero-trust. Pire encore, l’étude constate que les termes Zero Trust Access et Zero Trust Network Access sont parfois utilisés de manière interchangeable, ce qui accentue la confusion.
D’après les rédacteurs du rapport, « une solution efficace de confiance zéro nécessite des éléments conçus pour fonctionner ensemble comme un système intégré afin d’éviter les types de failles de sécurité et de gestion qui ont posé problème aux répondants de l’enquête ». En somme, une approche unifiée des différents outils du zéro confiance permet une sécurité proactive, intégrée et contextuelle qui s’adapte automatiquement à l’endroit où se trouvent les utilisateurs, au dispositif qu’ils utilisent et aux ressources auxquelles ils accèdent.