Demandez à cinq responsables informatiques de cinq agences fédérales différentes d’expliquer le Zero Trust et vous obtiendrez cinq définitions différentes.
J’ai remarqué cette disparité en discutant avec eux lors d’ateliers et de tables rondes. Et c’est compréhensible, car chaque fois qu’un nouveau terme ou une nouvelle technologie est introduit, les fournisseurs prétendent que leurs solutions répondent à cette définition, que ce soit le cas ou non. La confusion est inévitable.
Le fait est que les professionnels de l’informatique et de la sécurité apportent naturellement leurs propres expériences et perspectives technologiques à l’adoption de toute nouvelle technologie. Examinons la question du Zero Trust du point de certaines de ces agences fédérales.
Premièrement, le réseau
Certains responsables informatiques fédéraux ont commencé leur exploration du Zero Trust en examinant leurs réseaux. Il y a cinq à dix ans, les organismes fédéraux estimaient que le réseau était l’élément le plus important et établissaient des mécanismes de sécurité dans le but de protéger ce réseau. Mais les temps ont changé et les agences fédérales regardent désormais au-delà du réseau. Un membre d’une équipe fédérale de cybersécurité a décrit le rôle du Zero Trust comme étant « d’évoluer vers une solution où le placement logique du réseau n’est pas une sorte de mécanisme de pseudo-authentification, et dissoudre, autant que possible, la notion de périmètre de réseau solide ». La pandémie a été un catalyseur qui a permis aux responsables informatiques de se rendre compte que le solide périmètre de leur réseau n’est pas ce qu’ils pensaient ».
Et l’informatique ?
Certains considèrent le Zero Trust du point de vue de l’informatique. Ces dirigeants fédéraux voient le rôle de l’informatique évoluer d’un rôle axé sur l’infrastructure à un rôle axé sur les produits ou, dans certains cas, axé sur les applications, et ils considèrent que le Zero Trust joue un rôle essentiel à cet égard. La mission et les capacités informatiques s’orientent vers le soutien des objectifs de l’agence. Ainsi, pour certains responsables des technologies de l’information et des réseaux, le modèle Zero Trust gagnera en importance car il offre une sécurité plus complète pour le réseau de transport (Internet) que les modèles de sécurité traditionnels conçus pour protéger uniquement les données à l’intérieur de votre réseau.
Définir la confiance
Un dirigeant fédéral à qui j’ai parlé estime que le terme Zero Trust est mal choisi car, si l’on ne fait confiance à personne, personne n’obtiendra quoi que ce soit. Selon lui, le concept de Zero Trust consiste en réalité à définir les niveaux de confiance disponibles et à déterminer l’accès à accorder en fonction d’un niveau particulier. Il s’agit donc d’une autre façon de dire que les entités (personnes, appareils, applications) bénéficient d’un accès basé sur le moindre privilège, l’accès minimum nécessaire pour accomplir le travail.
Un autre responsable informatique fédéral a décrit le concept comme étant une confiance variable, ce qui signifie qu’un utilisateur accédant au réseau sur un appareil géré ou fourni par l’entreprise bénéficiera d’une plus grande confiance qu’une personne utilisant un appareil inconnu. Il en va de même pour les utilisateurs qui tentent d’accéder au réseau depuis le siège social plutôt que depuis un site distant.
Qu’essayez-vous de protéger ?
Une question importante pour de nombreuses agences fédérales est la suivante : qu’essayez-vous de protéger ? Dans de nombreux cas, l’objectif n’est pas de protéger chaque appareil, mais plutôt de protéger les données en provenance et à destination d’un appareil. Les agences s’efforcent donc de rapprocher les mesures de protection des ressources qu’elles tentent réellement de protéger.
Tout est une question d’accès
Les agences fédérales savent qu’elles doivent prendre en compte de nombreux facteurs avant d’autoriser un utilisateur à accéder à une application ou à un élément de données : qui obtient accès ? Quelles sont les garanties ? Comment s’est-il authentifié ? En bref, une agence fera davantage confiance à une personne demandant un accès via un réseau géré sur site qu’à d’autres formes d’authentification, comme un nom d’utilisateur ou un mot de passe.
Les dirigeants fédéraux semblent s’accorder sur le fait que le Zero Trust constitue un meilleur moyen de gérer l’accès. Il s’agit pour les agences d’une meilleure façon de comprendre réellement qui accède à leurs réseaux et à leurs données, et ce qu’ils font de ces données. Ils savent qu’il faut évaluer en permanence une multitude de facteurs pour décider si une personne peut obtenir et conserver un accès. Comme l’a dit un leader fédéral, il faut avoir une vision plus large lorsqu’il s’agit de Zero Trust.
Mais l’accès ne concerne pas uniquement les personnes
Comme l’a dit un membre clairvoyant d’une agence fédérale, les gens oublient parfois que ce n’est pas toujours un utilisateur qui accède aux données. Vos systèmes partagent également des données, tout comme les applications, souvent entre différents cloud. Dans notre secteur, nombreux sont ceux qui évoquent les données comme si elles étaient toujours immobiles, ce qui n’est pas le cas. Une solution Zero Trust doit protéger les données en mouvement aussi bien que les données au repos, en appliquant les politiques de l’agence à chaque connexion.
Un simple test
Étant donné que les responsables de l’informatique et des réseaux au niveau fédéral envisagent la notion de Zero Trust sous différents angles, nous pourrions créer un simple test pour déterminer si une solution dite de Zero Trust est réellement une solution Zero Trust.
Un responsable d’agence a suggéré de considérer une solution et de se demander : « Si l’appareil de l’utilisateur se trouve à l’intérieur du périmètre, s’agit-il du principal mécanisme de sécurité ? » Si tel est le cas, il ne s’agit pas d’une solution Zero Trust.
Tout tourne autour d’une meilleure protection
Bien que les perspectives de nombreux acteurs de l’espace fédéral diffèrent sur ce qu’est précisément le Zero Trust ou sur ce qui constitue une solution Zero Trust, ils ont finalement tous quelque chose en commun. Autrement dit, trouver une nouvelle façon de protéger leurs données, leurs employés et leurs citoyens dans un monde en évolution marqué par le cloud, la mobilité et le télétravail.
Consultez cette présentation de la solution GovLoop, Security Beyond the Desktop, ou écoutez ce podcast pour en savoir plus sur le Zero Trust.
