Quand l'implémentation d'une philosophie Zero Trust tourne à la guerre des besoins contradictoires...

Secu

L’année 2024 sera marquée par une guerre des besoins contradictoires pour le Zero Trust

Par La rédaction, publié le 03 janvier 2024

Face aux défis croissants en matière de sécurité informatique, les entreprises s’orientent de plus en plus vers la philosophie Zero Trust. Pour autant, non seulement cette dernière n’est pas standardisée, mais la diversité des offres et des acteurs complexifient sa mise en pratique. D’autant que, sans une approche globale et holistique du Zero Trust, elle peut aussi conduire à des guerres internes entre des équipes aux besoins parfois contradictoires…


Par : Marc Lueck, RSSI EMEA chez Zscaler


Face au rythme de l’évolution technologique, les entreprises sont confrontées à tant de défis : cybermenaces changeantes, nouvelles façons de travailler et toujours, la nécessité d’offrir une expérience utilisateur fluide. Dans ce contexte, les solutions Zero Trust restent un élément clé dans toute réflexion autour de la cyber-résilience. Toutefois, avec la popularisation du concept Zero Trust, la multiplication des offres et la saturation du marché, une rivalité s’installe pour établir des normes et des critères.

La concurrence sur le marché s’intensifie, évolue plus vite et les options proposées aux clients sont désormais légion. Au-delà des aspects culturels et stratégiques, le choix des outils technologiques devient plus compliqué. Cependant, les RSSI doivent distinguer les solutions ponctuelles et les offres de plateformes hautement intégrées, généralement basées sur le cloud, qui permettent une consolidation future. Il est crucial pour eux de choisir la solution qui maximisera les avantages pour leur entreprise.

En l’état actuel, sans une prise en compte holistique du Zero Trust, la compétition visant à établir des normes pourrait fragmenter le marché, diviser les équipes et compromettre les entreprises dans leur ensemble.

Qui guide le déploiement du Zero Trust ?

Tout d’abord, les entreprises doivent identifier la personne responsable du projet Zero Trust. C’est un élément crucial dans cette démarche visant à établir des normes, et cela joue un rôle décisif pour exploiter pleinement la valeur de cette approche à l’échelle de l’entreprise.

Une équipe de mise en réseau qui cherche à déployer Zero Trust a souvent tendance à opter pour une solution réseau spécifique, qui répond précisément aux besoins de mise en réseau de l’entreprise à ce moment donné.

Un RSSI en quête de généralisation d’une approche Zero Trust se focalise généralement sur des aspects tels que l’accès logique, le principe du moindre privilège et la restriction de l’accès aux actifs sécurisés.

Un DSI en quête de déploiement d’outils Zero Trust cherche une solution qui puisse rassurer l’entreprise et simplifier le flux des transactions.


À LIRE AUSSI :


Le concept de Zero Trust n’est pas réglementé. La définition qui s’en rapproche le plus est celle de Gartner, qui définit Zero Trust comme « des produits et des services conçus pour établir un contrôle d’accès logique basée sur l’identité et le contexte, permettant ainsi la connexion entre un utilisateur de l’entreprise et une application ou un groupe d’applications hébergées en interne ». Cette définition reste toutefois très limitée.

Inspirée du NIST, l’approche de Zscaler consiste à définir le Zero Trust comme un cycle en sept étapes :
1 – Déterminer une identité (une personne, une machine ou un appareil),
2 – Etablir le contexte de cette identité (moment de la journée, fonction et responsabilité de l’identité),
3 – Confirmer la destination
4 – Evaluer le risque
5 – Prévenir la compromission
6 – Eviter la perte de données et
7 – Appliquer la politique de manière cyclique.

Lorsque le processus est davantage une philosophie globale d’accès plutôt qu’une approche limitée, le Zero Trust peut alors déployer tout son potentiel et répondre aux besoins de l’entreprise, dépassant ainsi les objectifs immédiats et sectorisés.

Privilégier la plateforme au produit

Bien que le terme Zero Trust ne soit pas réglementé ou standardisé, son application correcte peut radicalement transformer la manière dont la sécurité et l’accès sont gérés. Comme vu plus haut, la notion de Zero Trust peut être abordée de plusieurs façons (pour le réseau, pour la sécurité ou pour le DSI) et influer sur le choix de solutions appropriées, mais ces dernières ne seront dès lors pas toujours propices à la croissance de l’entreprise. Plus la solution déployée est limitée (il s’agit généralement de solutions ponctuelles) plus il sera difficile de la développer et d’en adapter l’utilisation dans le futur.

D’autant qu’une telle approche par la lorgnette d’un seul acteur de l’entreprise peut aussi intensifier la concurrence entre les fournisseurs  cherchant à commercialiser leurs solutions (ce qui peut être parfois une bonne chose mais pas toujours) mais aussi entre les équipes de sécurité clientes à la recherche de la meilleure option pour leurs besoins spécifiques (une concurrence interne qui est rarement une bonne chose).

Les dirigeants engagés dans une approche plus globale et holistique consulteront d’abord un public plus large, tiendront compte de l’ensemble des prérequis et des objectifs de leur entreprise et s’assureront que la solution déployée réponde à ces besoins multiples et variés.


À LIRE AUSSI :


Finalement, le rapport de force entre clients et vendeurs est en train d’évoluer, surtout du côté des vendeurs. Si les fournisseurs de solutions Zero Trust reconnaissent les multiples avantages à migrer d’une approche de solution ponctuelle vers une approche de plateforme, cela bénéficiera aux deux parties. Privilégier le concept de la plateforme plutôt que celui du produit permet aussi d’accélérer le développement de produits qui répondront mieux à la vision plus complète du Zero Trust.

Stimuler la croissance des entreprises

Le Zero Trust a déjà provoqué des changements significatifs dans les secteurs de la cybersécurité et de la transformation informatique des entreprises.
Pour déterminer la personne chargée de garantir un déploiement efficace, une chose est certaine : cette personne doit être alignée sur la stratégie et être capable de mener le changement en appliquant le Zero Trust à la fois aux réseaux, à la sécurité des données, à l’accès aux applications et aux utilisateurs de l’entreprise.

La solution Zero Trust doit donc être envisagée dans sa globalité afin de répondre aux objectifs de l’entreprise afin de stimuler la croissance globale, plutôt que de répondre aux besoins spécifiques d’équipes cloisonnées.

En 2024, cette guerre des besoins contradictoires va revenir sur le devant de la scène : ceux qui saisiront la véritable puissance du Zero Trust en sortiront gagnants.


À LIRE AUSSI :


À LIRE AUSSI :

Dans l'actualité