Le nerf de la guerre repose sur la maîtrise de l’information, créatrice de valeur ajoutée. La cybersécurité devient dès lors un enjeu majeur. Il est donc nécessaire d’œuvrer afin de se protéger de ces menaces par l’intermédiaire d’une stratégie globale visant à pérenniser l’information et donc l’entreprise. Là est toute la raison d’être du modèle ou de la stratégie « Zero Trust » (ci-après : Zero Trust) formalisé en 2009 par le cabinet d’analyste Forrester en réponse à des attaques malveillantes ciblées, venues de l’intérieur. Il est issu du constat selon lequel la distinction entre les zones « externes » et « internes » a tendance à disparaitre en matière de système d’information. Le modèle de protection basé sur le périmètre est alors inefficace.
La genèse du modèle « Zero trust »
Zero Trust est un cadre de sécurité de l’information disposant que « les organisations ne doivent à aucun moment faire confiance à une entité à l’intérieur ou à l’extérieur de leur périmètre. Il fournit la visibilité et les contrôles informatiques nécessaires pour sécuriser, gérer et surveiller chaque appareil, utilisateur, application et réseau utilisé pour accéder aux données d’entreprise. Cela implique également la détection sur l’appareil et la correction des menaces »[1].
Le Zero Trust est « un concept stratégique utilisé par les responsables de la sécurité pour garantir une meilleure protection des organisations au fur et à mesure de leur adaptation à de nouveaux modes de fonctionnement et de nouvelles conditions du marché »[2] dictées par l’avènement de la révolution numérique. Forester a d’ailleurs souligné le fait que la modification des usages joue un rôle fondamental dans la création d’un nouveau modèle de sécurité́ informatique. Zero Trust signifie que la localisation ne confère ni confiance, ni accès. En d’autres termes, toute transaction entre deux parties, qu’il s’agisse d’une transaction de machine à machine ou d’une personne accédant à un serveur au sein d’une entreprise, doit faire l’objet d’une authentification et d’une autorisation poussées. Il est nécessaire de s’assurer de la sûreté de chacune des interactions quelle qu’en soit sa provenance.
La genèse de ce modèle résulte du Jericho Forum, ex-groupe de réflexion international travaillant à définir et promouvoir la fin du paradigme fondé sur la sécurité périmétrique. Fondé en 2004, ce think tank avait pour vocation de systématiser les problématiques relatives à la « dépérimétrisation » des systèmes d’information et déterminer un ensemble de principes permettant d’y remédier. Tirant profit de leur qualité d’expertise, les membres de ce groupe de réflexion ont quelque peu été visionnaires de par leur anticipation des modifications des usages que pourrait engendrer la révolution numérique.
Le manque de visibilité sur l’avenir des modèles d’anticipation
Cette faculté d’anticipation se trouve néanmoins en déshérence. Ce qui semble désormais une évidence ne l’a pas toujours été. Internet en est le parfait exemple. En 1997, une étude réalisée par la société spécialisée Dataquest dénombrait quatre-vingt-deux millions d’ordinateurs connectés dans le monde[3], sans imaginer ce qu’il allait en advenir. A l’époque, Internet était notamment décrié car considéré comme un concurrent direct au fleuron français qu’était le Minitel. Ainsi, en 1998, quatre-vingt-six pourcents des dirigeants d’entreprises françaises estimaient qu’internet était une mode éphémère.
« Ce glissement a été dur à admettre pour beaucoup. Sur le site de l’Inria (institut national de recherche dédié au numérique, un des pionniers du Net en France), Jean-Pierre Verjus, conseiller auprès du président, raconte : […] Un grand industriel lyonnais de la pharmacie s’est levé pour asséner que ce ‘bazar d’universitaire’ ne marcherait jamais. Un responsable de France Telecom s’est même plaint auprès de Alain Bensoussan, alors président d’Inria, du fait que je travaillais contre le Minitel ! En 1996, le chiffre d’affaires du commerce en ligne sur le minitel représentait en effet 12,6 milliards de francs [2,5 milliards d’euros de 2016]. »[4].
La prise de conscience fut d’abord gouvernementale comme le cite Dominique Nora dans « le Nouvel Observateur » du 18 septembre 1997 : « Tout le monde le savait, mais personne n’avait osé jusqu’alors le proclamer. Le 25 août, à Hourtin, Lionel Jospin a brisé le tabou : “Le Minitel est un réseau uniquement national, limité technologiquement, et risque de constituer progressivement un frein au développement des applications nouvelles et prometteuses des technologies de l’information. ”»
Une plus grande exposition aux cyberattaques du fait de la révolution numérique
La modification des usages exige une nouvelle approche incarnée par ce nouveau modèle. La notion de “Zero Trust”, modèle de sécurité dont le principe est de « vérifier et ne jamais faire confiance », permet aux entreprises de protéger leurs activités et d’accélérer leur développement. Il est nécessaire de souligner qu’il ne s’agit ni d’une norme, ni d’un standard mais d’une philosophie. En effet, cette méthode n’indique pas de technologies ou fournisseurs spécifiques. Elle insiste plutôt sur l’importance de la sûreté de l’approche, sa flexibilité et la capacité d’évolution de la sécurité informatique en fonction du contexte afin d’assurer la protection des données et ressources de l’entreprise.
La transformation numérique a des répercussions non négligeables sur l’exposition des entreprises aux cyberattaques du fait de l’augmentation de la surface d’attaque. Elle a par la même occasion une incidence sur leur sécurité et leur architecture réseau. Au plan national, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a produit en janvier 2019 une enquête intitulée « baromètre de la cybersécurité des entreprises »[5]. Celle-ci révèle que « 80% des entreprises des entreprises ont constaté au moins une cyber attaque ». A l’heure des rançongiciels, c’est la continuité même des entreprises qui peut être mise en jeu.
« Progressivement, le nombre et le type de terminaux se sont multipliés, incitant les personnes à travailler de n’importe où »[6]. Selon le cabinet d’études Gartner, le nombre de terminaux IoT installés devrait dépasser 20,4 milliards à l’horizon 2020. « Tout lieu doté d’une connexion Internet devient alors un lieu de travail potentiel. Les départements informatiques sont par conséquent confrontés à de nouveaux défis »[6]. Il est en effet devenu plus difficile de contrôler les terminaux et les réseaux depuis lesquels les utilisateurs se connectent. « Les solutions de sécurité traditionnelles sont adaptées uniquement lorsque le terminal et le réseau appartiennent au service informatique »[6]. Les utilisateurs « ont [désormais] besoin de pouvoir être productifs à tout moment et en tout lieu, et depuis des terminaux qui ne sont pas nécessairement contrôles par leur service informatique »[6].
[1] https://en.wikipedia.org/wiki/Zero_Trust_Networks
[2] https://www.silicon.fr/avis-expert/zero-trust-comment-ce-modele-ameliore-la-securite
[3] https://www.lesechos.fr/1997/08/82-millions-dordinateurs-connectes-a-linternet-en-1997-818892#:~:text=A%20la%20fin%20de%20l,par%20la%20soci%C3%A9t%C3%A9%20sp%C3%A9cialis%C3%A9e%20Dataquest.
[4] https://www.nouvelobs.com/tech/20170811.OBS3293/l-arrivee-d-internet-vue-par-l-obs-dans-les-annees-90-un-bazar-mondial.html
[5] Club des Experts de la Sécurité de l’Information et du Numérique – Baromètre de la cybersécurité des entreprises (Vague 4 – Janvier 2019), p.11
[6] Le Zero Trust : la sécurisation de tous vos accès, d’où qu’ils proviennent – Comment mettre en place un nouveau périmètre de sécurité avec une approche Zero Trust (Okta France)
Rédigé par : Wilfried IME
