Zero Trust
Le “Zero Trust”, zéro confiance en français, est un modèle de sécurité informatique fondé sur le principe “ne jamais faire confiance, toujours vérifier”.
Le recours accru au cloud, la prolifération des technologies IoT et le développement de la mobilité et du télétravail, parallèlement à l’apparition de nouvelles menaces cyber comme les attaques de ransomware, compliquent la protection des systèmes d’information.
Le modèle “Zero Trust” propose de pallier les limites des mesures de sécurité traditionnelles, telles que les pare-feu et les VPN, en plaçant la vérification de l’identité des utilisateurs, des appareils et des applications au cœur des politiques d’accès.
En ce sens, cela constitue une remise en cause du modèle de sécurité périmétrique, dans lequel les entités, une fois connectées au réseau interne de l’organisation, sont considérées comme dignes de confiance et peuvent se déplacer et accéder aisément à de larges ressources.
Le “Zero Trust” réduit cette “confiance implicite” à l’aide de contrôles réguliers, dynamiques et granulaires.
Dans ce modèle, l’accès est donné sur la base du plus faible niveau de privilège nécessaire pour une tâche spécifique.
Toutes les demandes d’accès sont contrôlées, indépendamment de leur emplacement (à l’intérieur ou à l’extérieur du réseau), et contextualisées.
Les autorisations tiennent compte d’attributs tels que l’identité et le comportement de l’accédant, la sensibilité des ressources sollicitées, ou encore les horaires d’accès.
“Zero Trust” est un nouveau paradigme dont la mise en œuvre s’appuie sur plusieurs technologies et processus tels que les logiciels de gestion des identités et des accès (IAM), l’authentification multifactorielle, la micro-segmentation du réseau, les systèmes de gestion des événements et des informations de sécurité (SIEM) ou encore la sensibilisation des utilisateurs.
À l’ère de l’informatique distribuée et du travail nomade, ces outils doivent permettre de protéger les ressources de l’organisation, quel que soit l’endroit depuis lequel on tente d’y accéder.