➜ Entretien
Comment percevez-vous l’opposition Zero Trust / VPN ?
Le Zéro Trust et le VPN sont deux concepts qui sont largement orthogonaux. Le VPN cherche à s’assurer que la communication entre deux points est sécurisée, afin de protéger contre l’espionnage de ces communications ou contre l’injection de données potentiellement malveillantes. Le Zéro Trust, de son côté, permet de s’assurer qu’un accès spécifique à une ressource donnée (une page d’un site web, une photocopieuse, etc.) est autorisé. Le Zéro Trust est souvent implémenté en conjonction avec un système fiable de vérification des identités de l’utilisateur.
La considération est-elle la même lorsqu’on parle B2C…
Au niveau du marché grand public, VPN et Zéro Trust peuvent tout à fait cohabiter, le VPN étant lui-même une ressource à protéger. Le point de sortie du VPN peut entrer en ligne de compte dans l’approche Zéro Trust utilisée pour sécuriser l’accès à une ressource à laquelle on accède via le VPN (c’est par exemple l’approche des sites de streaming ou des serveurs de jeux qui bloquent les accès à leur plateforme aux utilisateurs utilisant un VPN).
… ou B2B ?
Au niveau du marché entreprise, les deux systèmes cohabitent. L’approche Zéro Trust nécessite de prendre en compte la sécurité des liens entre deux serveurs internes à l’entreprise : si ce lien n’est pas sécurisé, alors les données partant du serveur 1 peuvent avoir été modifiées lorsqu’elles arrivent au serveur 2, et, de fait, les droits d’accès à la ressource ciblée du serveur 2 ne peuvent donc plus être considérés comme étant valides. La transmission de la validité des droits entre serveurs, composante intrinsèque du concept Zéro Trust, ne peut se faire que si le lien entre les deux serveurs empêche la capture et l’injection – ce qui est exactement le but des VPN modernes. Bien sûr, des technologies autres qu’un VPN peuvent être utilisées pour sécuriser ces liens. Un tunnel SSH peut très bien convenir.
Eho.Link est un spécialiste de la cybersécurité