In a cyber landscape where insecurity reigns, the Zero Trust model is gradually establishing itself as an essential approach to ensuring organizational security. Experts interviewed at the last InCyber Forum in Montreal discussed the fundamental principles of Zero Trust, the importance of communication and organizational culture, as well as practical strategies for integrating this philosophy into companies.

« Le Zero Trust ne se présente pas comme une simple solution, mais plutôt comme un concept », affirme d’emblée Maria Thompson. Pour la consultante en cybersécurité chez Amazon Web Services, l’approche repose sur l’hypothèse que rien n’est véritablement sécurisé, qu’il s’agisse des réseaux, des communications, ou même des individus. Stéphane de Saint Albin, CEO d’Ubika, abonde dans ce sens, soulignant que le Zero Trust nous donne l’occasion « de réfléchir à nouveau aux risques » d’un paysage des cybermenaces de plus en plus complexe. 

Bien que cette approche puisse sembler intimidante par son ampleur et son caractère englobant, les experts soulignent qu’elle ne nécessite pas l’intégration de nouvelles solutions de cybersécurité. Il s’agit plutôt de gérer différemment les composantes déjà existantes dans l’organisation, explique Julien Hivon, directeur principal de la cybersécurité chez Desjardins. Robert Razavi, conseiller principal en matière de sécurité chez Bombardier, partage ce point de vue : « Votre VPN, votre pare-feu, votre protection des points d’accès… Toutes ces solutions doivent répondre à de nouvelles exigences : qui peut y accéder, et depuis où ? »

Repenser la gestion des données et des accès

Comment déployer le Zero Trust au sein de votre organisation ? Les spécialistes nous invitent à réfléchir à l’un des cinq piliers fondamentaux de ce concept : les données. Robert Razavi souligne qu’une des lacunes majeures des entreprises réside dans leur tendance à conserver toutes les données, sans discernement. « Savez-vous réellement où se trouvent vos données ? Qui y a accès ? Vous arrive-t-il de les supprimer ? » s’interroge-t-il. C’est ici que la classification des données, en particulier celles jugées critiques, prend toute son importance. 

Un autre axe prometteur pour l’implémentation du Zero Trust est la gestion des identités, qui doit s’articuler autour du principe du moindre privilège. « Tout le monde ne devrait pas avoir accès à tout, en permanence ! » insiste Robert Razavi. Il est essentiel non seulement de renforcer les accès par des mesures de sécurité additionnelles, telles que l’authentification à deux facteurs, mais aussi de pouvoir mesurer et surveiller qui a accès aux ressources de l’organisation, et à quel moment. « Par exemple, si un employé a quitté l’entreprise à la fin du mois dernier, a-t-il toujours accès à des données critiques ? » questionne Stéphane de Saint Albin. « Si tel est le cas, nous faisons face à une vulnérabilité significative qu’il faut adresser rapidement. »

Microsegmenter pour mieux anticiper

En parallèle des enjeux liés aux données et aux accès, Robert Razavi souligne l’importance de redéfinir le périmètre de sécurité. Plutôt que de concevoir son organisation comme une forteresse imprenable, il propose d’adopter la métaphore d’une ville moderne, dotée de capteurs, de caméras et d’agents de sécurité. Cette approche s’inscrit dans le principe de la microsegmentation, qui consiste à isoler et à protéger les différentes composantes d’un réseau par des contrôles de sécurité spécifiques. Cependant, le spécialiste de la cybersécurité met en garde : « Il est quasiment impossible de microsegmenter efficacement sans des systèmes à jour. » Ainsi, établir le Zero Trust au sein d’une organisation encore dépendante d’environnements hérités (legacy environments) représente un défi majeur.

Finalement, la sécurité des appareils doit également être révisée, particulièrement à l’ère du travail à distance. Pour Stéphane de Saint Albin, il est tout à fait possible d’assurer la fiabilité des dispositifs, même dans le cadre d’une politique de BYOD (Bring Your Own Device). Bien que cette pratique comporte certains risques, ceux-ci peuvent être atténués grâce à la mise en place d’un réseau dédié, conçu pour les appareils présentant un niveau de risque réduit.

La communication, pierre d’assise du Zero Trust

Pour les participants, le Zero Trust est la responsabilité de tous et chacun. Toutefois, Maria Thompson met en garde : considérer l’insécurité comme une norme au sein de l’organisation peut susciter des frustrations chez les employés. L’introduction de nouvelles stratégies, telles que le Privilege Access Management (PAM), peut parfois perturber le quotidien des utilisateurs. Robert Razavi explique que si « chaque usager doit devenir un défenseur des données », il est crucial d’enseigner le principe du moindre accès en bonne et dûe forme. « Il est essentiel d’expliquer ce changement culturel et de faire comprendre aux employés qu’il ne s’agit pas d’une remise en question personnelle, mais plutôt d’une nécessité pour la sécurité de l’organisation », ajoute Maria Thompson.

Adopter ce nouveau paradigme de sécurité exige une réévaluation approfondie des pratiques, des outils et des politiques de cybersécurité au sein de l’entreprise. Stéphane de Saint Albin souligne encore que cette transition nécessite un changement de mentalité. Pour ce dernier , le Zero Trust est « une aspiration, un voyage, une philosophie, et non une destination. C’est une démarche d’amélioration continue — voilà le cœur du Zero Trust. »

Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.
Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.