Votez pour Zero Trust tôt et souvent

Pour les adeptes de la cybersécurité, Zero Trust IT consiste en une architecture dans laquelle aucun utilisateur, application ou machine connecté à un réseau n'est digne de confiance jusqu'à preuve du contraire. Selon la définition du National Institute of Standards and Technology (NIST), Zero Trust IT représente un « ensemble évolutif de paradigmes de cybersécurité qui passe d'une approche de défense basée sur des périmètres de réseau statiques à un modèle centré sur les utilisateurs, les ressources et les actifs ». Ainsi, aucune confiance implicite n'est accordée aux actifs ou aux utilisateurs sur la seule base de leur emplacement physique ou réseau ou de la propriété des actifs.

La plupart des professionnels de la cybersécurité savent que ce n'est pas nécessairement un concept nouveau. On attribue à John Kindervag, analyste chez Forrester Research, la vulgarisation de ce terme en 2010, mais le concept lui-même remonte à 2004. Toutefois, de nos jours, Zero Trust IT s'est converti en quelque chose qui relève davantage d'un slogan de campagne. Aujourd'hui, presque toutes les entreprises s'orientent vers l'adoption d'un type d'architecture Zero Trust. Le ministère américain de la défense (DoD) vient de publier un rapport de 37 pages décrivant sa vision quant à la réalisation des objectifs Zero Trust IT au cours de l'année à venir. Quiconque cherche à définir une stratégie de cybersécurité similaire pour son entreprise pourrait simplement faire un copier-coller d'une grande partie de ce rapport.

Bien entendu, c'est là qu'un certain niveau de cynisme envers les Zero Trust IT commence à se faire sentir. Il n'existe pas aujourd'hui de fournisseur de plateforme ou de service de cybersécurité qui ne décrive pas son offre d'une manière ou d'une autre comme permettant aux professionnels de la cybersécurité de favoriser la réalisation d'objectifs Zéro Trust IT. Compte tenu de la conjoncture actuelle en matière de cybersécurité, il est évident que toutes ces promesses peuvent susciter le doute et la méfiance.

Cependant, cette tendance naturelle au scepticisme pourrait passer à côté de l'essentiel. L'un des principaux problèmes auxquels se heurtent depuis longtemps les professionnels de la cybersécurité est le manque de soutien de la part des responsables senior. La cybersécurité a toujours été considérée comme un coût à minimiser, généralement en investissant juste assez pour se conformer à tous les mandats obligatoires. Zero trust IT, en revanche, est une expression fourre-tout que les chefs d'entreprise peuvent plus facilement comprendre. Plutôt que de se contenter d'assurer la conformité, l'objectif est désormais de sécuriser véritablement les environnements informatiques. Ainsi, la volonté d'allouer des budgets à la cybersécurité, même en cas de ralentissement économique, est sans doute plus élevée que jamais. Naturellement, l'essor des ransomwares n'est pas étranger à ce changement d'attitude.

Les dirigeants d'entreprise, comme d'habitude, ne sont pas particulièrement intéressés par la manière dont les objectifs Zero Trust IT seront atteints. Comme toujours, c'est le résultat qui compte pour eux. Les professionnels de l'informatique, quant à eux, hocheront la tête quand on leur parlera de Zero Trust, même si beaucoup d'entre eux ne savent pas exactement de quoi il s'agit. Ce qui importe le plus, du point de vue de la cybersécurité, c'est que tous les acteurs concernés adhèrent au concept. Il est toujours de bon ton d'afficher un certain dédain à l'égard du dernier terme à la mode ou de la nouvelle phrase à la mode, mais dans le cas présent, la campagne Zero Trust IT ne s'adresse pas vraiment aux professionnels de la cybersécurité. De leur point de vue, la campagne Zero Trust IT n'est guère plus qu'une extension d'une approche de défense approfondie bien connue en matière de cybersécurité. La différence aujourd'hui réside dans le fait que les professionnels de la cybersécurité ne sont pas les seuls à prendre part à la discussion.

Bien entendu, tous les slogans deviennent un jour dérisoires. Toutefois, les professionnels de la cybersécurité seraient bien avisés de lancer leur propre campagne Zero Trust IT pendant que le terme est encore en vogue, ne serait-ce que parce que cela facilite l'investissement dans la prochaine génération de technologies de cybersécurité qui sera cruellement nécessaire pour continuer le bon combat au nom de ceux qui ne comprennent pas toujours, et qui apprécient encore moins, ce qui est pourtant essentiel.