![[ZERO TRUST] : quand la cybersécurité inspire la crypto (et inversement)](https://incyber.org//wp-content/uploads/import/post/2022/08/tracfin-detaille-les-fraudes-liees-aux-crypto-actifs-en-2021-1395x735.jpg)
ZERO TRUST : quand la cybersécurité inspire la crypto (et inversement)
![Image Les technologies de l’information au cœur des [tensions géopolitiques]](https://incyber.org//wp-content/uploads/import/post/2014/08/itp-la-geopolitique-faconne-le-cyberespace-selon-le-dernier-rapport-cisco-885x690.jpg)
![Image Le [quantique] au service du spatial : révolutionner les applications satellitaires](https://incyber.org//wp-content/uploads/import/post/2024/03/cyberattaques-dans-lespace-la-protection-commence-des-le-sol-885x690.jpg)
À l’origine, un même credo : « Don’t Trust, Verify »
Le principe du « Don’t Trust, Verify » apparaît comme un socle commun aux univers de la cybersécurité et de la crypto. En réalité, cette approche a émergé de façon concomitante dans les deux secteurs. Le concept – tel que nous le connaissons aujourd’hui – a été formulé pour la première fois en 2010 par John Kindervag, alors chez Forrester Research. Sa méthodologie “zéro confiance”, baptisée “Zero Trust”, a depuis été adoubée par le NIST (National Institute of Standards and Technology).
Cette approche remet en cause les modèles de sécurité traditionnels, qui reposaient sur une confiance implicite à l’intérieur du périmètre réseau. Le “Zero Trust” exige au contraire une vérification continue de chaque utilisateur, appareil et application, sans jamais accorder de confiance par défaut.
Dans l’univers des crypto-actifs, ce principe entre en résonance avec le fonctionnement même des blockchains : décentralisation, transparence, et absence d’intermédiaire de confiance. Ici, la méfiance par défaut et la vérification constante sont essentielles pour garantir l’intégrité des transactions, la confiance étant répartie entre les acteurs du réseau plutôt que concentrée dans les mains d’un tiers.
Méthodologie ou philosophie ?
Sans avoir été théorisée de manière aussi élaborée que la méthodologie de Kindervag, la philosophie adoptée par le secteur des crypto-actifs s’en rapproche fortement : pas de périmètre de sécurité figé, minimisation de la confiance, contrôles d’accès et vérifications constantes, recours au chiffrement… Autant de principes déjà à l’œuvre dès l’émergence du Bitcoin en 2009.
On retrouve ici la fameuse question de l’œuf et de la poule : la cybersécurité a formalisé le concept de Zero Trust en 2010, alors même que la crypto utilisait déjà intuitivement ces principes.
Zero Knowledge Proof : la cryptographie au cœur du Zero Trust
Au centre de ce lien entre cybersécurité et crypto se trouve le Zero Knowledge Proof (ZKP), une technologie cryptographique permettant de prouver la véracité d’une information sans la révéler. Employée sur des blockchains comme StarkNet, Aleo ou Aztec, cette technologie est un pilier du Zero Trust : elle assure que l’authenticité des transactions est vérifiée, tout en préservant la confidentialité.
La cryptographie asymétrique – avec son couple de clés publique et privée – renforce encore ce modèle. Héritée des recherches en cryptographie dans les années 70 et démocratisée par le Bitcoin, cette approche garantit des échanges sécurisés. Ainsi, la crypto et la cybersécurité se nourrissent mutuellement, combinant transparence, confidentialité et vérification constante.
Vers une sécurité adaptée aux menaces modernes
Les menaces évoluent sans cesse : bots malveillants, intelligence artificielle hostile, ordinateurs quantiques… Dans ce contexte, l’objectif est de concevoir des systèmes complexes, offrant pourtant une réponse simple, robuste et efficace.
Des entreprises comme Chimere et Keeper sont à la pointe de cette transformation.
La start-up Keeper applique par exemple strictement le Zero Trust pour ses coffres-forts numériques.
« Dans un système, même si vous avez passé la porte d’entrée, on va encore s’assurer que c’est vous, encore et encore. On ne va pas vous faire confiance même si vous avez passé la première porte et pu vous authentifier au système de base. Tout notre produit est conçu autour de ça. » explique un des employés de Keeper.
Leurs services illustrent cela avec la mise en place de mécanismes tels que la prévention du « pass the hash », empêchant un attaquant de réutiliser un mot de passe compromis.
Chimere s’appuie sur une architecture Zero Trust formalisée par le NIST en 2020, mais inspirée de principes plus anciens. Cette architecture inclut sept fondements, parmi lesquels le contrôle continu des utilisateurs, une authentification renforcée et la vérification de la conformité des appareils. L’ambition est de remplacer des solutions jugées inadaptées face aux menaces et aux usages actuels.
Les experts de Chimere parlent d’une « nouvelle philosophie qui cherche à remplacer ou compléter les solutions traditionnelles dépassées par les menaces actuelles et pour les adapter aux nouveaux usages. Un nouveau paradigme. Une nouvelle philosophie. »
Ils soulignent que la blockchain est intrinsèquement un environnement de « distributed trust », où :
« On ne fait pas confiance à UN tiers mais à une communauté. C’est une sorte de dérivedérivée du Zero Trust. Les parties prenantes ne se connaissent pas, ne veulent pas se faire confiance mais font confiance à la masse. »
Selon eux, « Ce qui est intéressant, c’est que l’écosystème blockchain et crypto a permis aussi de penser l’architecture Zero Trust pour la cybersécurité, et d’en fonder les principes, même si elle existait a priori. »
Ils ajoutent que le modèle actuel est inadapté aux menaces et usages contemporains et proposent une alternative:
« On revient à un internet décentralisé – on veut rendre aux utilisateurs leur contrôle. Et en cybersécurité, c’est le cas aussi : on ne veut plus être dépendant de certaines vulnérabilités des fournisseurs. »
De son côté, Keeper a développé des coffres-forts numériques reposant strictement sur le Zero Trust : même après une authentification initiale, chaque accès est revalidé en permanence. L’usage de cryptographie asymétrique et symétrique y assure un niveau de sécurité très élevé, bien que leur marché cible soit pour l’instant davantage les entreprises que les utilisateurs de crypto.
Un mouvement cyclique
Ce qui se dessine est un cycle vertueux : la cybersécurité a fourni à la crypto des modèles et des méthodologies pour renforcer la confiance et la sécurité des échanges. En retour, l’écosystème dynamique de la blockchain a inspiré de nouvelles approches en cybersécurité, s’appuyant sur la décentralisation, la distribution de la confiance et la vérification continue.
Cette relation symbiotique n’en est qu’à ses débuts. Alors que l’informatique quantique, l’IA et d’autres technologies émergentes poussent à repenser la sécurité, le dialogue entre cybersécurité et crypto pourrait bien révolutionner la manière dont nous protégeons nos données et nos transactions dans un monde de plus en plus numérique.