On appelle “zéro trust” ou “modèle zéro trust” une stratégie de sécurité informatique dans laquelle le système considère que tout utilisateur ou toute demande de connexion est, par défaut, suspicieuse et doit être contrôlée.
Elle s’oppose aux stratégies de sécurité informatique traditionnelles, utilisées depuis les années 80, qui ont pour postulat que tout utilisateur et tout élément appartenant au réseau de l’entreprise est digne de confiance.
Cette stratégie, puissante dans son application, n’est pas forcément applicable dans son ensemble à toutes les structures. Découvrez dans notre article un décryptage du modèle « zéro trust » et de son application possible et raisonnée à l’échelle d’une PME.
Qu’est-ce que le modèle Zero Trust ?
Comme mentionné en introduction, le « zéro trust » est une approche de la sécurité informatique qui suppose que tous les éléments auxquels le système informatique est confronté sont, par défaut, suspicieux. De fait, dans un modèle zéro trust, toute connexion, tout utilisateur et toute entité souhaitant accéder au système seront contrôlés, et ce, de façon constante.
Nous nous basons sur les recommandations du guide spécial appelé « Zero Trust Architecture » du NIST (National Institute of Standards and Technology), publié en août 2020 et cité en référence, notamment par l’ANSSI, afin de proposer un résumé des principales caractéristiques du zéro trust :
Un système informatique appliquant le modèle zéro trust aura pour principe les éléments suivants :
1. Limiter au possible les accès et les privilèges
- les utilisateurs n’ont accès qu’aux ressources pour lesquelles un besoin a été identifié,
- l’utilisateur doit bénéficier du niveau de privilège le plus faible possible lui permettant d’accomplir la tâche souhaitée,
2. Contrôler systématiquement toutes les demandes
- les demandes d’accès sont contrôlées avec la même rigueur, qu’elles proviennent de l’intérieur ou de l’extérieur du réseau de l’entreprise,
- le contrôle des accès aux ressources est multifactoriel et s’adapte aux circonstances (contrôle de l’identité de l’accédant, contrôle de la ressource concernée, contrôle de la sensibilité des informations, contrôle de l’horaire de la demande d’accès etc.)
3. Poursuivre la surveillance tout au long de l’accès
- le système doit vérifier la sécurité de tous ses actifs, à l’occasion de la demande d’accès, mais aussi, en cours d’accès à la ressource,
- une authentification qui a été réalisée ou une autorisation qui a été délivrée doit être régulièrement réévaluée tout au long de l’accès à la ressource.
Cas d’utilisation de Zero Trust pour une PME
Bien entendu, sur le papier, un système informatique effectuant des contrôles permanents et continus de tous les accès semble idéal. Dans la pratique, il est important de dimensionner son niveau de protection et de sécurité à son besoin, sous peine d’augmenter la complexité de ce système, de le fragiliser ou pire : de procurer un faux sentiment de sécurité.
C’est pourquoi, il est important pour toute entreprise envisageant de mettre en place le « zéro trust », d’identifier au préalable si ce modèle répond effectivement aux besoins spécifiques de cette structure.
Nous allons tacher le lister ci-dessous quelques-uns des principaux cas d’utilisation du zéro trust pour une structure de type PME.
Permettre une meilleure connaissance du système
Une des principales faiblesses des PME en gestion des systèmes d’information, c’est leur méconnaissance de leur propre système. En effet, tenir un état des lieux exhaustif et précis d’un système d’information, à l’heure où de plus en plus de services sont externalisés dans le Cloud et sur des applications Saas, demande une rigueur très importante.
En principe, la mise en place du zéro trust dans une entreprise permet d’obtenir plus de clarté dans la connaissance de son système d’information et de ses différents éléments.
- Les administrateurs peuvent identifier les flux de données, les utilisateurs et leurs privilèges,
- L’accès à la ressource est limité à des utilisateurs et à un contexte d’utilisation clairement identifié,
- Des référentiels d’identité doivent être tenus à jour et refléter les arrivées, les départs et la mobilité de tous les utilisateurs.
Lutter contre les failles de sécurité et les fuites de données
Les fuites de données et les failles de sécurité, qu’elles soient technologiques ou humaines, représentent une problématique majeure pour les PME en 2023. Selon le rapport Security Navigator 2023 d’Orange Cyberdefense, les PME sont particulièrement vulnérables aux cyberattaques. En effet, le coût moyen d’une fuite de données est estimé à 1,9 million de dollars pour les entreprises de moins de 500 employés. Cette vulnérabilité peut mettre en danger la survie de nombreuses PME.
La mise en place du zéro trust permet de mieux lutter contre les fuites de données :
- En réduisant l’accès à la donnée et les escalades par privilèges, le modèle zéro trust permet de diminuer la surface d’attaque et par là-même, le risque d’attaque, son impact et sa gravité.
- Les informations obtenues par les administrateurs leur permettent de prendre de meilleures décisions quant aux besoins de protection de certaines ressources, mais aussi, concernant le temps et le coût éventuel d’un nettoyage suite à une faille.
Protéger et rationaliser les applications Cloud Computing
En 2023, alors que les budgets des directions informatiques des PME sont limités, les effets prolongés de la pandémie ont encouragé ces entreprises à poursuivre leur numérisation et à adopter des solutions SaaS. Selon Analysys Mason, les dépenses mondiales des PME en applications professionnelles et outils de collaboration basées sur SaaS devraient augmenter de 17% par an jusqu’en 2026 pour atteindre 291 milliards de dollars.
La mise en place du zéro trust permet dans certains cas de mieux protéger et rationaliser les ressources gérées dans le Cloud Computing :
- Le modèle zéro trust et son principe de contrôles systématisés constitue un moyen efficace de sécuriser la multiplicité des applications, des terminaux et des données gérés dans le Cloud.
- De plus, dans certains cas, en se substituant aux VPN, le zéro trust permet un accès aux ressources gérées dans le cloud plus rapide et plus rationalisé.
Protéger les collaborateurs en télétravail
Selon une enquête semestrielle de BPI France publiée en juin 2022, près d’une TPE-PME sur deux aurait désormais recours au télétravail, et ce, notamment, depuis la crise sanitaire. Un télétravail qui a pour conséquence, pour nombre d’entreprises, d’augmenter la vulnérabilité informatique de la structure.
Avec le zéro trust, tous les accès aux ressources sont contrôlés avec la même rigueur, que l’utilisateur soit sur site, à distance ou à domicile, en télétravail. De fait, ce type de procédures procure un meilleur contrôle sur la sécurité des utilisateurs, les appareils et les applications, que le réseau utilisé soit un réseau interne ou externe.
Garantir la conformité
Enfin, le zéro trust pourrait être utile à l’un des besoins des PME, sans être le besoin le plus important : celui de la mise en conformité. En effet, un modèle de sécurité de type « zéro trust » permet une gestion centralisée de la sécurité et assure une meilleure conformité de l’accès aux données.
Cela peut être utile, par exemple, dans le cadre de certaines normes, comme la norme PCI DSS (Payment Card Industry Data Security Standard), qui est une norme de sécurité des données de paiement qui s’applique aux entreprises de toutes tailles qui acceptent, stockent, traitent ou transmettent des données de cartes de paiement.
Cela peut également être utile pour des entreprises qui traitent des données sensibles ou personnelles, dans le cadre notamment d’une mise en conformité RGPD.
Limites d’application pour les PME
Bien que la stratégie de sécurité « zéro trust » offre de nombreux avantages, il est important de considérer les difficultés et les limites d’applications qui peuvent se présenter aux PME :
Manque de ressources : Les coûts liés à l’acquisition et la mise en place de la technologie, ainsi que les connaissances techniques approfondies en sécurité informatique peuvent être, pour une PME, un frein à cette mise en place. Il sera dans ce cas probablement nécessaire de recourir aux services d’un prestataire spécialisé plus aguerri à ce type de pratiques. Le manque de ressources, c’est aussi une dépendance à l’égard des fournisseurs, il s’agira de faire attention à bien évaluer et surveiller ces fournisseurs sensibles.
Difficulté de mise en œuvre : La difficulté de mise en œuvre est également un défi important à relever pour les PME, notamment concernant la mise à jour des systèmes de gestion des accès et de l’authentification. En effet, ces PME peuvent avoir du mal à adopter une approche rigoureuse en matière de gestion des identités et des accès, entre autre parce qu’elles utilisent souvent plusieurs systèmes d’authentification et qu’elles disposent de politiques de sécurité d’accès variables.
Résistance au changement : Bien que les employés des PME soient généralement plus disposés à accepter de nouvelles mesures de sécurité que ceux des grandes entreprises, il peut y avoir une certaine réticence à adopter de nouvelles méthodes d’accès et d’authentification. Cela peut être dû à des habitudes de travail établies ou à une certaine méfiance envers les nouvelles technologies. Cependant, si les avantages et la nécessité de ces nouvelles méthodes sont clairement expliqués, les employés peuvent être plus enclins à les adopter.
Difficultés de mise à l’échelle : Les PME peuvent éprouver des difficultés à adapter leur stratégie « zéro trust » à la croissance de leur entreprise, c’est-à-dire à mesure que l’entreprise se développe et qu’elle ajoute de nouveaux utilisateurs, périphériques et applications à son environnement informatique.
Difficulté à maintenir le niveau de sécurité : La mise en place d’un modèle « zéro trust » nécessite un engagement à long terme de l’entreprise pour maintenir les niveaux de sécurité requis. Les PME peuvent avoir des difficultés à maintenir ce niveau de sécurité, surtout si elles manquent de ressources ou d’expertise technique.
Évaluer les besoins avant d’adopter le modèle zéro trust : une nécessité
En somme, la mise en place d’un modèle zéro trust offre de nombreux avantages pour une PME. Elle garantit une sécurité réseau renforcée, protège efficacement les données sensibles, et assure la sécurité des nœuds finaux. De plus, le zéro trust permet une gestion unifiée des terminaux, une sécurité optimale du Cloud Computing, ainsi qu’une gestion des identités et des accès plus efficaces, y compris pour les accès avec privilèges. En considérant ces avantages, il est clair que les PME peuvent bénéficier de cette stratégie pour améliorer leur sécurité et leur gestion de la confidentialité.
Toutefois, il est crucial pour chaque entreprise de bien évaluer ses besoins et de déterminer ce modèle correspond à ses exigences spécifiques, et de ne pas oublier que la mise en place d’un modèle de sécurité « zéro trust » dans le système d’information d’une PME peut être confronté à des difficultés techniques, humaines et organisationnelles.
Vous souhaitez être accompagné dans la mise en place d’une stratégie de sécurité informatique rationalisée et dimentionnée aux besoins de votre PME ? Contactez-nous et bénéficiez de notre analyse experte sur le sujet !