Existe-t-il encore des entreprises qui œuvrent en vase clos ? Comment au contraire intégrer ses partenaires, ses nouveaux collaborateurs, mais aussi ses clients et ses administrés en toute sécurité alors même que chaque connexion à un système est une potentielle manœuvre d’attaque ? Loin de n’être qu’une théorie, les stratégies Zero Trust permettent de résoudre cette difficile équation.
« Citrix a démocratisé la sécurisation de l’accès au système d’information à travers la virtualisation des applications, mais c’est le fait d’admettre que l’entreprise, au sens large, court un cyberrisque réel qui a accéléré l’usage de cette technologie », explique Christian Gédié, Application Delivery & Security Partner Account Manager chez Citrix. « Aujourd’hui, 85 % des décideurs entendent adopter des technologies Cloud et 74 % réfléchissent à abandonner les VPN ».
Que reproche-t-on au VPN ? Deux choses principalement : d’une part, la sécurisation d’une porte d’entrée est aujourd’hui très insuffisante au regard de l’hyperprofessionnalisation de la cyberpiraterie. D’autre part, l’impossibilité d’accéder aux applications en SaaS rend l’usage du VPN passablement irritant et par trop contraignant dans un monde du travail nomade.
Personne ne s’y trompe. Gartner prédit d’ici trois ans la massification des stratégies unifiées d’entreprise. Que faut-il comprendre ? Il s’agit d’offrir une expérience complète et homogène d’accès aux services web, au cloud et aux applications, depuis une plateforme distribuée par un fournisseur unique.
Et à travers ce principe d’unité, le Zero Trust en toile de fond, comme un principe indéfectible de sécurité, applicable à tous, en tout lieu, en tout temps. Pour l’ANSSI, la démarche Zero Trust consiste bien à réduire la « confiance implicite » accordée aux utilisateurs et aux activités menées par le biais des équipements de l’entité. Si les protections périmétriques ne disparaissent pas nécessairement, les contrôles deviennent réguliers, dynamiques et granulaires.
Naturellement, la mise en place du télétravail vient immédiatement à l’esprit. Les stratégies Zero Trust lui sont particulièrement adaptées puisqu’avec 7 employés sur 10 utilisant des appareils personnels sur des réseaux que l’informatique ne peut pas sécuriser, la protection des applications et des données demeure une gageure.
Cela dit, le même schéma peut trouver à s’appliquer dans de multiples cas bien antérieurs à la crise pandémique. Chaque croissance externe d’entreprise suppose l’intégration de nouveaux personnels dont les politiques de sécurité sont généralement distinctes de celles de l’entreprise d’accueil. Les regroupements hospitaliers également sont une source intarissable de risques cyber, au même titre que les regroupements de collectivités.
Plus classiquement, toutes les activités faisant appel à de nombreux travailleurs saisonniers, toutes celles nécessitant le recours à une force intérimaire, comme toutes les entreprises fonctionnant en mode distribué (recrutement international, partenaires externes) peuvent tirer un important bénéfice d’une stratégie Zero Trust.
On en perçoit l’efficacité instinctivement, face aux progrès lents de la sensibilisation et de la pédagogie auprès des collaborateurs. Si la formation participe fortement d’une politique Zero Trust, éliminant progressivement les mauvais réflexes et les comportements à risques, elle suppose d’être répétée et confirmée à chaque nouvelle intégration et reste dépendante des délais et de la bonne volonté de chacun.
La cybersécurité peut apparaître comme un sempiternel va-et-vient de bonnes pratiques et de relâchements. À trop sécuriser au point d’interdire, l’IT a longtemps essuyé les foudres des métiers. À trop autoriser, parfois sous le coup de l’urgence, la sanction tombe sans préavis. En quoi une politique Zero Trust se distingue-t-elle des méthodes traditionnelles ?
« Les mécanismes d’analyse du risque employés dans une stratégie Zero Trust sont conçus pour s’intégrer de manière transparente à l’expérience utilisateur. En d’autres termes, l’analyse ne doit pas avoir pour effet de ralentir un accès, mais d’en déterminer la légitimité. C’est indispensable pour ne pas influencer négativement un processus d’adoption » relate Giuliana Crespo, Senior Sales Engineer chez Citrix.
Il s’agit donc bien de partir des besoins de l’utilisateur et non plus de l’infrastructure. Faire ce chemin inverse permet de s’affranchir des problématiques récurrentes d’un SI verrouillé. L’offre est désormais riche et complète : contrôle d’accès avec Single Sign-on, authentification multifacteur, visibilité de bout en bout et analytique du comportement des utilisateurs, navigation sécurisée, contrôle des applications Cloud, filtrage web, etc.. Le machine learning et l’intelligence artificielle viennent soulager des processus complexes et rébarbatifs tout en maintenant la fluidité qu’exige aujourd’hui l’activité numérique foisonnante des organisations.
Lire le prochain article
