Crédit : Temps de rêve
L’intérêt pour la confiance zéro augmente, selon l’Étude sur les priorités de sécurité 2020 d’IDG, 40 % des personnes interrogées déclarant qu’elles recherchent activement les technologies de confiance zéro, contre seulement 11 % en 2019.
Pendant ce temps, 18 % des organisations indiquant qu’elles ont déjà des solutions de confiance zéro, plus du double des huit pour cent en 2018. 23 % des répondants prévoient de déployer une confiance zéro au cours des 12 prochains mois.
Mais l’analyste de Forrester, Steve Turner, note que dans ses récentes conversations avec des entreprises clientes, 50 à 70 % d’entre eux se méprennent complètement sur les concepts et principes de base de la confiance zéro, « parce que le battage publicitaire a pris le dessus.
Il ajoute : « Lorsque nous ramenons les choses à la réalité et leur disons où elles en sont, il y a cinq étapes de deuil autour de la confiance zéro ; la réalisation que ce que vous aviez n’est pas ce que vous pensiez que c’était. »
Voici quelques mythes et idées fausses courants associés à la confiance zéro.
Mythe : La confiance zéro résout un problème technologique
La confiance zéro ne résout pas un problème technologique ; il répond à un problème commercial. « La première étape consiste à s’asseoir et à comprendre quel problème commercial vous essayez de résoudre », explique Turner.
John Kindervag, l’ancien analyste de Forrester qui a créé le modèle de confiance zéro, souligne également la nécessité de se concentrer sur les résultats commerciaux, en conseillant aux RSSI d’impliquer l’entreprise. « Si vous ne connaissez pas les besoins de votre entreprise, vous échouerez », dit-il.
Mythe : Zero Trust est un produit ou un ensemble de produits
Une idée fausse courante sur la confiance zéro est que si vous déployez la gestion des identités, le contrôle d’accès et la segmentation du réseau, vous avez réussi à implémenter la confiance zéro. Kindervag, actuellement vice-président principal de la stratégie de cybersécurité chez le fournisseur de services de sécurité gérés ON2IT, explique que la confiance zéro n’est pas une suite de produits ou un ensemble de tactiques.
« C’est une initiative stratégique conçue pour arrêter les violations de données. » Burkhardt le décrit comme un « ensemble de principes » que vous utilisez pour créer un environnement technologique sécurisé.
« Personne ne peut vous vendre une solution zéro confiance », ajoute Kris Burkhardt, RSSI d’Accenture. « Si vous cherchez à acheter un produit pour obtenir une confiance zéro, alors vous posez la mauvaise question. »
Turner dit qu’il a discuté avec des clients qui ont acheté un produit avec la promesse qu’il n’avait aucune confiance, mais « ils n’ont rien changé à leur approche ». L’organisation n’a pas classé les données ; il avait encore des employés, des vendeurs et des sous-traitants avec des privilèges excessifs ; il n’a pas identifié les actifs critiques ni modifié les flux du réseau.
Mythe : La confiance zéro signifie que vous ne faites pas confiance à vos propres employés
Kindervag explique que l’approche zéro confiance ne vise pas à rendre les systèmes fiables ; il s’agit d’éliminer le concept de confiance des systèmes informatiques. « La confiance est une vulnérabilité qui est exploitée dans les violations de données. Nous n’essayons pas de faire confiance aux systèmes. »
Cela est parfois mal interprété car l’entreprise ne fait soudainement plus confiance à ses employés. Les RSSI doivent expliquer que ce n’est pas personnel ; c’est l’équivalent d’exiger une carte-clé pour entrer dans le bâtiment. Et le but ultime est d’empêcher les violations de données, qui affectent tout le monde dans l’entreprise.
Mythe : La confiance zéro est difficile à mettre en œuvre
Kindervag se hérisse à l’idée que la confiance zéro est difficile à faire. « C’est la mythologie créée par des gens qui ne veulent pas que vous le fassiez parce que cela tuerait leur modèle de défense en profondeur. » Il soutient que la confiance zéro n’est pas compliquée et certainement pas plus chère que ce que les entreprises font déjà – et cela ne tient même pas compte du coût d’une violation de données.
Turner convient qu’il est beaucoup plus facile aujourd’hui de mettre en œuvre la confiance zéro : les outils eux-mêmes se sont améliorés et les fournisseurs collaborent désormais entre les gammes de produits. « Il est beaucoup plus facile de faire avancer les choses aujourd’hui avec moins d’investissements », ajoute-t-il.
Mythe : Il n’y a qu’une seule façon correcte de commencer le voyage zéro confiance
Au fil du temps, deux approches pour démarrer avec une confiance zéro ont émergé : du côté de la sécurité et du côté de la gestion des identités, explique Turner. Certaines organisations commencent par l’identité et passent rapidement au déploiement de l’authentification multifacteur, qui offre « les gains les plus simples et les plus rapides ».
D’autres organisations adoptent une approche centrée sur le réseau, s’attaquant d’abord à la micro-segmentation, ce qui peut être un peu plus difficile, explique Turner.
Mythe : Déployer SASE signifie que je n’ai aucune confiance
SASE s’est récemment imposé comme un moyen populaire de miser sur la confiance zéro, car il s’agit d’un service qui place les contrôles de sécurité dans le cloud. Cependant, Turner souligne que de nombreuses entreprises se sont tournées vers SASE pendant les premiers jours chaotiques de la pandémie pour résoudre le problème immédiat des employés travaillant à domicile.
SASE aborde la question de la confiance zéro à la périphérie, mais à mesure que les employés retournent dans les bureaux de l’entreprise, les organisations se rendent compte qu’elles fonctionnent toujours avec les concepts de sécurité périmétrique traditionnels. « Les solutions SASE ne sont pas conçues pour les modèles hybrides », explique Turner. « Maintenant, les organisations doivent retourner à la planche à dessin » et appliquer la confiance zéro comme stratégie à l’échelle de l’entreprise. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
