
Établir la confiance avec Zero Trust
Remarque : cet article fait partie d'une série en 5 parties sur les origines et les principes du Zero Trust.
Prenons la politique du BYOD (utilisation des appareils personnels en entreprise) comme exemple de success story du Zero Trust. Pendant longtemps, l'utilisation d'appareils n'appartenant pas à l'entreprise pour accéder aux e-mails et à d'autres ressources était déconseillée. Les appareils personnels des employés étaient considérés comme suspects du point de vue informatique. En effet, ils ne pouvaient pas être surveillés, protégés ni gérés par le périmètre traditionnel de sécurité. Résultat, les employés ne pouvaient pas utiliser leurs propres appareils dans un contexte professionnel. Ceux en déplacement devaient compter sur les appareils connectés au réseau et sur des connexions VPN s'ils devaient pouvoir accéder au réseau à partir d'un site distant. Cela n'empêchait pas pourtant l'utilisation des appareils personnels sur les réseaux professionnels. De nombreux employés trouvaient en effet des moyens de contourner ces limites en copiant les données sur leur propre ordinateur, en s'envoyant les fichiers par e-mail ou en utilisant des applications comme Dropbox pour stocker les données en dehors du réseau.
Les équipes informatiques ont développé des environnements BYOD sécurisés en adoptant une nouvelle approche. Les solutions de MDM (mobile device management ou gestion des appareils mobiles) appliquent des politiques de sécurité sur les appareils personnels et permettent aux équipes informatiques de révoquer les accès à distance et de supprimer les données d'un appareil si besoin. L'utilisation croissante des applications web et SaaS a permis aux utilisateurs autorisés d'accéder aux applications directement, sans besoin de se connecter au réseau. Les appareils mobiles sont devenus plus intelligents et de nombreux employés mobiles considèrent les tablettes et les smartphones comme de bonnes alternatives aux ordinateurs portables. Les appareils personnels étaient en passe d'être acceptés officiellement dans le monde de l'entreprise. Les fournisseurs de sécurité ont créé des applications mobiles pour que le déploiement VPN se fasse plus facilement. Enfin, des entreprises comme Microsoft et Salesforce ont renforcé les applications web disponibles au grand public.
Les avantages du modèle BYOD
Les managers ont également trouvé des avantages au modèle basé sur les appareils personnels. Les employés préfèrent utiliser leur propre appareil et sont souvent plus productifs lorsqu'ils utilisent un appareil qu'ils connaissent. Dans de nombreux cas, les employés changent d'appareil personnel plus souvent que le renouvellement de l'équipement en entreprise, ce qui fait qu'ils utilisent des technologies plus avancées. Les entreprises ont également constaté un impact sur leur résultat net. D'après une étude menée au cours des premières années du modèle BYOD, les entreprises comptant seulement 500 employés pouvaient économiser jusqu'à 1,5 million de dollars par an en frais informatiques en acceptant que leurs employés se servent de leurs appareils personnels.
Le modèle BYOD a présenté des avantages parce que les entreprises ont su s'éloigner de ces hypothèses :
- L'accès aux ressources dans le bureau est plus sécurisé qu'un accès à distance
- Une connexion VPN authentifiée est toujours sécurisée
- Les appareils appartenant aux employés ne sont pas aussi sécurisés que ceux de l'entreprise
En quoi le BYOD permet d'expliquer le Zero Trust
Le modèle BYOD n'est pas limité qu'au Zero Trust. Il concerne également les smartphones, les App Stores, le Wi-Fi, le SaaS et de nombreuses autres technologies. Lorsque le BYOD est utilisé comme exemple, le changement de paradigme du Zero Trust est alors plus facile à comprendre pour des parties prenantes non techniques. Toutes les entreprises n'autorisent pas forcément le BYOD, mais la plupart des gens comprennent de quoi il s'agit. C'est d'autant plus vrai que les confinements généralisés au moment de la pandémie ont forcé des millions d'employés à faire du télétravail. Une grande partie de ces employés utilisait alors des appareils personnels en attendant que leur entreprise leur envoie du matériel informatique.Dans le prochain article de cette série, nous verrons les principes fondamentaux du Zero Trust. Vous pouvez accéder aux autres articles de la série ici.