La confiance est brisée, place au modèle Zero Trust
Nous pouvons souvent faire notre travail à domicile, car les systèmes informatiques de l’entreprise sont accessibles même à distance. Les données de l’entreprise n’existent plus seulement sur son serveur interne, mais aussi dans le cloud.
Jusqu’à assez récemment, la sécurité était envisagée de façon dichotomique : l’ennemi était une menace extérieure, donc les données internes devaient être protégées par des systèmes de sécurité. Les concepts de sécurité traditionnels supposent que tous les services, dispositifs et utilisateurs du propre réseau informatique de l’organisation sont fiables, on part donc sur un principe de confiance dans les utilisateurs, applications et terminaux internes au réseau. Cependant, ces concepts de sécurité sont devenus obsolètes, car ils sont inopérants dès que le pirate a pénétré dans le réseau de l’organisation – ou qu’un employé fait preuve de négligence et devient vecteur de la menace.
L’idée était de construire des châteaux forts aux murs impénétrables, à renforcer au fur et à mesure que les attaques devenaient plus sophistiquées. Mais une fois que les hackers ont franchi les murs du réseau informatique, ils peuvent se déplacer librement en son sein, avec un accès illimité aux actifs numériques : données personnelles, technologies développées par l’entreprise, stratégie, et autres idées.
Or ce modèle ne correspond plus à la réalité des réseaux d’aujourd’hui. Le » Bring Your Own Device en est un exemple : si les employés ramènent leurs propres smartphones et les connectent à l’entreprise, le réseau informatique devient vite poreux. Le problème est exactement le même lorsqu’ils installent des applications non vérifiées par l’entreprise sur leur poste de travail.
C’est pourquoi cette stratégie du château n’est plus suffisante : les murs du château, aussi hauts soient-ils, ont des portes battantes. La confiance est devenue une vulnérabilité.
Le modèle Broken Trust, quand la sécurité est dépassée par l’évolution des pratiques
L’approche basée sur un réseau protégé et bien délimité était basée sur l’axiome » Trust, but verify. Ce modèle divise le réseau d’entreprise en deux parties, externe et interne. La partie externe est vue comme indigne de confiance, car elle connecte l’entreprise à l’Internet public. Mais en interne, tous les utilisateurs ont accès aux ressources sensibles sans avoir à s’identifier.
L’intérieur des frontières du réseau de l’entreprise est son point faible : une fois que les attaquants ont franchi les frontières extérieures, ils sont authentifiés et obtiennent un accès sans restriction aux données même les plus sensibles de l’entreprise.
La digitalisation du fonctionnement des entreprises a rendu ces frontières labiles, poreuses. Il n’y a plus de séparation entre l’extérieur et l’intérieur. Les entreprises numériques n’ont pas de frontières : elles existent partout où les clients se connectent et où les employés et les partenaires interagissent avec les données et les services.
Le modèle Zero Trust, une réponse prudente aux enjeux contemporains
Le modèle de Zero Trust est basé sur le principe » Never trust, always verify : ici, la distinction entre extérieur et intérieur du système est abolie et le principe de non-confiance règne.
Par rapport aux concepts traditionnels, le modèle Zero Trust représente un changement de paradigme en ce sens […..]
Source:: La confiance est brisée, place au modèle Zero Trust
