Des défis à relever
Avant de se lancer, certaines entreprises ont peu conscience de ce que représente la mise en place d’une architecture Zero Trust. C’est pourquoi la première chose est d’avoir une réelle volonté de s’engager dans une telle démarche. Surtout lorsqu’elle dépasse de loin le simple déploiement de quelques briques logicielles.
Le succès d’une approche Zero Trust reste en effet dépendant de la compréhension et de la formation des collaborateurs. Il exige, en outre, un inventaire précis des utilisateurs de l’organisation, mais également des applications. Par ailleurs, sa mise en œuvre suppose une étroite collaboration entre les différentes équipes de la DSI. Il faut alors les décloisonner afin qu’elles puissent se coordonner autour d’une stratégie de sécurité cohérente. Cet effort d’ouverture peut rencontrer des freins, une résistance au changement liée à la crainte de perte de champs de responsabilité et la nécessité d’adopter une approche nouvelle de la gestion de certains actifs informatiques.
De ce fait, les dirigeants et la DSI considèrent souvent la mise en place du modèle Zero Trust comme chronophage. Ils baissent les bras devant ce chantier d’envergure, dont ils ne retiennent que l’alourdissement des process et la demande excessive en ressources.

Se préparer de façon objective
Pourtant, déployer une approche Zéro Trust en vaut la peine, si l’on considère les risques cyber qui pèsent sur les sociétés. Avant toute décision rédhibitoire, rappelons donc les tenants et les aboutissants de ce modèle.
Le principe du Zero Trust est qu’au sein d’un réseau informatique aucune entité n’est fiable et n’est authentifiée a priori. En ce sens, il est nécessaire de remettre en question la confiance implicite accordée traditionnellement aux utilisateurs et aux applications à l’intérieur d’un réseau.
Dans une architecture Zero Trust, le contexte d’accès des utilisateurs à leur environnement de travail est important. Celui des interactions entre applications l’est tout autant. Toute demande d’accès à une ressource applicative, système, données requiert une identification - le cas échéant multifactorielle. Toute action inhabituelle entraîne un blocage des accès (connexion depuis un lieu ou avec un ordinateur inconnu, flux de données inhabituel…).

Ainsi, la mise en place d’une telle architecture nécessite de répondre à un certain nombre de prérequis :
• Une bonne visibilité sur l’environnement et un contrôle de ses utilisateurs afin de savoir qui a accès à quelles données et depuis quel appareil,
• Une surveillance et une vérification du trafic entre les différents utilisateurs : les données sensibles sont-elles bien partagées par des utilisateurs ayant un même niveau d’accès ? Sont-elles partagées en interne ou en externe ?
• Des méthodes d’authentification multifacteur plus puissantes et robustes comme le code à usage unique ou la biométrie.

Ne pas brûler les étapes
Bien entendu, le modèle Zero Trust peut s’appliquer à toutes les entreprises. Néanmoins, elle exige une certaine maturité des équipes en charge des systèmes, des réseaux et de la sécurité informatique. Ainsi, un certain nombre de dispositifs de sécurisation de base - sauvegardes (immuables), renforcement des politiques d’authentification, antispam/antivirus…doivent être déployés avant d’en venir au modèle Zéro Trust.
Dans cette logique, les experts en matière de cybersécurité ont tendance à préconiser la mise en place du Zero Trust de façon progressive. Ils rappellent ainsi que la première des choses à faire est de réaliser une cartographie de son système d’information. Cela permet de distinguer et cibler les environnements pour lesquels il est possible et pertinent d’intégrer l’approche Zero Trust, notamment en termes de sensibilités des ressources à protéger.
Outre cela, plusieurs axes peuvent être envisagés pour intégrer cette approche à un système d’information traditionnel. Le premier est avant tout la gestion et le contrôle des identités. Élément clé de l’approche Zero Trust, il suppose un suivi strict de l’accès aux différentes ressources informatiques de l’entreprise : suivi des départs et arrivées, mobilités internes…
Le deuxième, tout aussi essentiel, concerne le management de devices. Il s’agit de s’assurer que tous les appareils connectés au SI ou susceptibles de l’être soient correctement configurés, mis à jour et surtout sécurisés. En d’autres termes, le but est de s’assurer que tous ces appareils satisfont aux exigences de sécurité et d’authentification requises afin d’accéder aux ressources du réseau, indépendamment de l’utilisateur, de leur emplacement ou de la nature du device utilisé.
Le troisième axe sur lequel les entreprises ont intérêt à se concentrer est la micro-segmentation de leur système d’information. En pratique, il s’agit simplement de rassembler les ressources en différents groupes. Le but est alors d’adapter la protection selon les besoins et le niveau de sensibilité des données et applications. Cela demande une hauteur de vue et repose sur le décloisonnement et la maturité des DSI déjà évoquées.
Une fois cette étape réalisée, les outils et l’approche Zéro Trust vont pouvoir se déployer pour “faire respecter” les accès selon les niveaux de sensibilité désirés au sein du système d’information (ou d’une partie de celui-ci).

Ainsi, dans la mesure où une entreprise souhaite s’engager dans une approche Zero Trust, il lui faudra bien préparer le terrain, les équipes et en appliquer les principes de manière progressive. Une stratégie pragmatique assurera une sécurité optimale des données et applications. Enfin, la conduite du changement est aussi extrêmement importante. S’ils comprennent les tenants et aboutissants de ces nouvelles règles d’authentification, les utilisateurs du système d’information adhéreront massivement à la démarche et ce, d’autant plus qu’ils sont déjà sensibilisés à une hygiène informatique “de base” (pas d’ouverture de mail litigieux, pas de connexion au wifi public…).