Le modèle du Zero Trust est une manière de concevoir la sécurité informatique au sein d’une entité. « Zéro confiance » : cette dénomination assez explicite pose le postulat de la remise en question du principe de la sécurité des systèmes de protections numériques utilisés notamment pour les entreprises.
Le développement du Cloud, du télétravail et des approches BYOD (Bring your own device, « Amène ton propre dispositif »), créent des risques supplémentaires à un moment où les menaces ne cessent d’augmenter.
En effet, au sein des entreprises, les politiques actuelles se basent sur la confiance entre les individus, laissant de larges accès à l’ensemble des membres du personnel. Le modèle Zero Trust cherche à changer de paradigme en prévoyant des moyens de sécurité non pas renforcés mais différents, où les accès sont davantage limités.
Le modèle du Zero Trust ne fait confiance à personne, et implique la mise en œuvre de certaines mesures phares. D’abord le fait de n’accorder des accès à des ressources seulement pour ceux qui en ont besoin et non pas par principe. Ces accès donnés aux employés doivent faire l’objet de réévaluations régulières pour qu’ils restent pertinents sur le long terme. Les demandes d’accès doivent être contrôlées de façon identique qu’elles soient internes ou externes à l’entité. Les accès sont attribués selon un grand nombre de considérations, eu égard à la personne qui se connecte, aux ressources consultées et leur degré de sensibilité.
Ce fonctionnement s’oppose au modèle actuel dit de défense « périmétrique » qui fonde sa sécurité sur des pare-feux et des proxies – qui ne sont par ailleurs pas voués à disparaître de sitôt. Ce système se base sur la délimitation de la sécurité par un logiciel, dont l’ensemble des éléments et des personnes s’y trouvant sont en sécurité.
Ces exemples de mise en œuvre du modèle ne permettent évidemment pas de se substituer à des pare-feux ou des éléments « matériels » de protection. Le modèle Zero Trust permettrait de pallier les limites que ces logiciels présentent, sans pour autant pouvoir constituer une protection à lui seul. Il ne peut donc pas se substituer au système périmétrique.
La Directive NIS 2, de 2022, concernant la prise de mesures destinées à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne, considère l’adoption de méthodes de « confiance zéro » comme des mesures de « cyberhygiène de base ».
Si aujourd’hui de nombreuses entreprises adoptent cette philosophie sans la nommer, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) rappelle que le recours à ces solutions est ardu, et peut conférer un faux sentiment de sécurité face à une vulnérabilité des systèmes d’information. Cela multiplie le risque de perte de contrôle par rapport aux solutions physiques en cas de mauvaise installation, d’erreur de configuration. Par ailleurs l’ANSSI met en garde contre les logiciels « tout-en-un » qui fournissent des solutions commerciales Zero Trust qui ne prévoient pas toutes les déclinaisons possibles de la démarche laissant, à tort, un faux sentiment de sécurité.
Le modèle Zero Trust représente donc une évolution significative dans la conception de la sécurité informatique, remettant en question les principes traditionnels de confiance au sein des entreprises. Face à l’augmentation des menaces et au changement des pratiques, ce modèle propose une approche plus restrictive et contrôlée des accès, complétant plutôt que remplaçant les systèmes de sécurité périmétrique existants. Cependant, malgré ses avantages, l’ANSSI prévient des défis et des risques associés à une mauvaise mise en œuvre. Ainsi, bien que prometteur, le Zero Trust doit être adopté avec prudence et expertise pour être pleinement efficace.
Julia BERTHAUD
M2 CYBERJUSTICE
Agence Nationale de la Sécurité des Systèmes d’Information – le modèle Zero Trust
Microsoft Learn – Qu’est-ce que la confiance Zero
