Le paradigme du Zero Trust s’est imposé dans les réflexions des professionnels de la cybersécurité avec une nette accélération depuis le début de la pandémie. L’essor du télétravail les a en effet obligés à revoir leurs politiques de gestion des accès. Une récente directive du président Biden a été émise auprès de l’administration américaine afin qu’elle se mette en conformité avec le Zero Trust. Enfin, de nombreux fournisseurs de solutions ont fait évoluer leurs offres pour répondre à cette demande.
Pour autant, les solutions seules ne suffisent pas. Le modèle de sécurité dominant depuis une trentaine d’années, celui de la défense périmétrique, est profondément remis en cause même s’il reste valable pour certains accès, certaines ressources sensibles dont la localisation restera maîtrisée. Pour l’essentiel du capital informationnel des entreprises, l’interaction entre les différents systèmes d’information s’est nettement accrue. Les utilisateurs sont de plus en plus mobiles. La localisation physique d’une ressource informatique – poste de travail, serveur etc – n’est donc plus suffisante pour déterminer une politique d’accès. Avec le Cloud, les applications tierces, les API, il faut revoir ce modèle.
L’expérience montre également un risque important d’attaques qui viennent de l’intérieur. Les pirates ont appris à utiliser les postes et comptes utilisateurs internes comme rebonds pour leurs attaques : phishingTechnique d'attaque informatique reposant sur l'ingénierie sociale et utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La méthode consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer les renseignements demandés., prise de contrôle à distance etc. Il faut donc aller plus loin.
Le Clusif souhaite guider les RSSI vers l’appréhension de la méthode, quelle trajectoire et quelles briques utiliser pour la mettre en place. Les participants du groupe de travail Zero Trust partagent leurs retours d’expérience et souhaitent offrir un regard pragmatique sur cette évolution majeure. Quels outils ont été implémentés ? Quelles sont les difficultés rencontrées ? Quels sont les pré-requis ?
Le groupe prépare la publication d’un guide concret organisé sous forme de questions/réponses de manière à épauler les professionnels dans leur cheminement.
Nous vous tiendrons informés de sa publication sur notre site et sur nos réseaux sociaux. Et si vous souhaitez participer à ce groupe de travail, rejoignez-nous !
