Pierre Sevilla,
Cybersecurity Consultant – Région Grand Est chez Holiseum
« Les grandes entreprises se sont lancées dans une démarche “Zero Trust” bien avant que celle-ci ne soit formalisée par le NIST en 2019. Dès 2017/2018, certains acteurs du secteur de l’énergie ont implémenté un IAM pour disposer d’une gestion des identités et proposer l’authentification multi-facteur et le SSO à leurs utilisateurs. La nature de ces projets a évolué suite à la crise sanitaire et la démocratisation du télétravail. Le chiffrement des protocoles de transports de données avec TLS et plus globalement Http/s pour les échanges et le chiffrement des données au repos avec AES 256. Ce chiffrement permet d’assurer la confidentialité de données potentiellement très sensibles et sont des pistes pour intégrer à un SI « traditionnel » les principes du “Zero Trust”.
En parallèle, les entreprises ont mis en place des solutions de DLP (Data Loss Prevention et Data Leak Protection) qui génère des alertes en fonction de la nature des données échangées. Les entreprises mettent de plus en plus l’accent sur la priorisation des données, avec un traitement différent selon la nature des données. Enfin, on voit de plus en plus la mise en place de solutions permettant l’audit de logs afin d’analyser les anomalies et surtout corréler les événements en cas d’alerte avérée. »
Etienne Lafore,
Senior Manager chez Wavestone
« Le « Zero Trust Network Access » ou SASE est certainement le 1er chantier à initier pour se lancer dans une approche Zero Trust. Ces offres sont actuellement les plus matures sur le marché.
Les services de proxy Cloud ou d’Identité as a Service permettent d’implémenter l’un des principes clés du “Zero Trust” : l’accès conditionnel. L’accès aux ressources ou à la fonction est alors conditionné à un niveau de confiance suffisant. Ce niveau peut être calculé suivant différents critères : niveau d’authentification, maîtrise du poste, horaires de connexion, sources de la connexion… Zero Trust est une philosophie et non un modèle de sécurité. Chaque entreprise doit décliner son modèle en acceptant d’avoir des versions plus ou moins avancées en fonction des environnements techniques (Cloud vs Legacy).
Le vrai risque d’un projet Zéro Trust est de tout miser sur la mise en œuvre de Policy Enforcement Point (PEP) et d’oublier ses basiques (patch management, sécurité du code, durcissement, audit…). Ne jamais oublier que les attaquants exploiteront toujours des vulnérabilités. »