Pour Anthony Moillic, Directeur Ingénierie des solutions EMEA et APAC chez Netwrix, l’approche Zero Trust est aujourd’hui incontournable pour réduire les risques de cyberattaque réussie alors que le cyber-risque est très élevé pour toutes les organisations, quelle que soit leur activité et leur taille :

« Les politiques Zero Trust obligent les utilisateurs et les services à vérifier leurs informations d’identification lorsqu’ils tentent d’accéder aux ressources de l’entreprise. Il est donc beaucoup plus difficile pour les utilisateurs non autorisés d’accéder à une architecture vitale. L’approche Zero Trust permet de relever efficacement les défis liés à l’évolution du périmètre de sécurité à l’ère de l’adoption cloud et de la mobilité des collaborateurs. Dans cette nouvelle réalité, les membres d’une organisation constituent son nouveau périmètre. L’époque où la "confiance" était accordée dès lors que vous vous trouviez à l’intérieur du pare-feu de l’entreprise - physiquement dans le réseau ou même connecté via un VPN - est donc révolue.

Avec le Zero Trust, l’accès aux ressources à l’intérieur et à l’extérieur du réseau est restreint tant que la validité de la demande n’est pas confirmée. Chaque utilisateur, quelle que soit ses responsabilités dans l’organisation, doit donc toujours passer par des protocoles spécifiques pour vérifier son identité afin d’être autorisé pour le niveau d’accès sécurisé demandé.

En se concentrant sur l’identité, le modèle Zero Trust permet de limiter les mouvements des cybercriminels, même s’ils parviennent à une compromission initiale. Par exemple, même s’ils parviennent à se connecter au compte d’un employé, les protocoles mis en place reconnaîtront toute activité inhabituel ou toute tentative d’accès à des ressources hors du cadre du rôle de ce collaborateur. Toutefois, la sécurité basée sur le modèle Zero Trust n’est pas quelque chose qui peut être accompli par la technologie seule. Les entreprises doivent en effet développer une stratégie globale qui inclut des changements dans leur culture.

Pour commencer à progresser vers l’établissement d’une architecture réseau Zero Trust, les entreprises doivent s’engager à comprendre l’écosystème IT et les processus, y compris les tâches effectuées par les collaborateurs, les capacités en termes de technologies et les éventuelles lacunes existantes. Un modèle Zero Trust englobe tous les réseaux et services informatiques d’une organisation, dont les appareils connectés qui envoient des informations à des sources telles que les bases de données et les plateformes de logiciels SaaS. Il est donc primordial de penser au-delà de l’emplacement du réseau au moment de définir les exigences de sécurité, y compris pour les demandes d’accès envoyées par les actifs connectés à l’infrastructure réseau.

Tout comme il est impossible de garantir une cybersécurité totale, il est impossible d’adopter pleinement les principes Zero Trust. De nombreuses organisations ont donc opté pour un mode hybride, avec une combinaison Zero Trust et de sécurité périmétrique. En déployant tout d’abord les pratiques de sécurité de base du Zero Trust, comme le moindre privilège, ainsi que le recours à des outils fondamentaux comme la classification des données et de l’audit informatique, les entreprises peuvent commencer à renforcer cybersécurité. »