Cybersécurité sous tension : pourquoi le modèle Zero Trust est devenu essentiel ? Laurent Gelu, Security & Resiliency Advisory Leader chez Kyndryl France l’explique à nos lecteurs.
Fuites massives de données, attaques en cascade via les prestataires, compromissions d’accès utilisateurs… L’actualité cyber des derniers mois est sans appel : les attaques s’intensifient et visent les points faibles du quotidien numérique des entreprises.
Les cybercriminels ne s’attaquent plus uniquement au cœur du SI. Ils passent par les partenaires vulnérables, les droits d’accès trop larges, les postes de travail mal protégés ou les erreurs humaines banales.
En 2024, l’ANSSI a recensé une hausse de 15 % des incidents. Pourtant, seules 26 % des entreprises se disent prêtes à y faire face*. Face à cette réalité, il devient indispensable d’adopter un modèle de sécurité adapté à la complexité actuelle. C’est ce que propose l’approche Zero Trust : une architecture conçue pour un monde interconnecté, mouvant, et sans périmètre fixe.
Zero Trust : une nouvelle manière de structurer la sécurité
Le principe est simple : ne jamais accorder de confiance par défaut. Chaque utilisateur, chaque appareil, chaque action est vérifiée en permanence, dans son contexte.
Mais l’approche Zero Trust va bien au-delà du contrôle d’accès. Elle transforme la manière dont on pense, organise et pilote la sécurité. C’est un modèle d’architecture conçu pour un environnement numérique ouvert, où les systèmes, les utilisateurs et les partenaires interagissent en continu, sans périmètre fixe.
Pour passer du principe à la mise en œuvre, et faire de votre stratégie Zero Trust une réalité, voici les cinq étapes clés.
- Relier sécurité et enjeux métiers
On ne sécurise pas pour cocher des cases. On sécurise pour protéger ce qui fait tourner l’entreprise : données sensibles, processus critiques, chaînes de production, parcours client.
Le rôle du BISO (Business Information Security Officer) prend ici tout son sens : rattaché aux métiers avec un lien fonctionnel vers le CISO, il connecte les exigences cybersécurité aux priorités business et IT.
Ce lien de terrain est essentiel pour arbitrer, prioriser, et faire avancer concrètement les sujets.
- Faire de la sécurité un réflexe collectif
Les incidents ne viennent pas toujours de failles techniques. Souvent, ils commencent par un geste malheureux : clic malveillant, accès trop large, copie de fichiers, comportement à risque.
Pour que Zero Trust fonctionne, il faut embarquer toute l’organisation. Former, responsabiliser, créer une vraie culture de vigilance. Une entreprise que je connais bien l’a très bien formulé : “Security is up to you.”
- Simplifier, rationaliser… mais garder le contrôle
L’empilement d’outils crée de la confusion. Trop de couches, trop d’interfaces, pas assez de lisibilité. Mais simplifier ne veut pas dire tout centraliser ni concentrer les responsabilités au même endroit. Une stratégie de rationalisation efficace repose sur un schéma directeur partagé, clair, adapté aux capacités internes. Elle maintient des garde-fous : séparation des rôles (SoD), pluralité d’acteurs, clarté des responsabilités.
L’idée : regagner en contrôle, sans fragiliser l’équilibre global.
- Cibler ce qui compte vraiment : les actifs critiques
On ne peut pas tout sécuriser au même niveau, ni poser un cadenas sur chaque recoin du SI. Il faut d’abord identifier ce qui est vital : données sensibles, applications métier, environnement industriel, chaîne de production. Pour y voir clair, il faut s’appuyer sur des référentiels vivants : CMDB, registre des traitements RGPD, cartographies métiers. Dans certains cas, consolider les applications ou centraliser les données (par exemple via un datalake) permet aussi de réduire la surface à protéger et d’éviter de multiplier les efforts inutilement.
Le croisement de ces sources permet de relier les actifs aux processus critiques, d’évaluer leur exposition, et de concentrer les efforts là où ils auront le plus d’impact.
C’est ce ciblage qui rend le Zero Trust efficace… et applicable.
- Structurer la gouvernance pour durer
Zero Trust n’est pas un “projet” qu’on boucle en six mois. C’est une transformation progressive, qui doit s’ancrer dans la durée. Il faut une gouvernance claire : rôles définis, comités mixtes (IT, sécurité, métiers), indicateurs de suivi, rythme régulier. Ce pilotage continu, ancré dans la réalité des équipes, évite que le modèle s’épuise ou se dilue.
Le Zero Trust n’est pas une solution miracle, ni un produit clé en main. C’est une architecture de sécurité moderne, pensée pour un monde distribué, hybride, et en mouvement constant. L’adopter, c’est remettre de la clarté, de la résilience et de la maîtrise dans un environnement toujours plus incertain — sans freiner l’agilité.
