Tous ceux qui pensent qu’un nouvel outil de cybersécurité proposé par un fabricant leur apportera soudain zero trust seront déçus : aucun parti ne propose aujourd’hui une offre complète.
Dans un entretien avec Protocol, Matthew Prince, PDG de Cloudflare, aborde la question de zero trust. Il accuse tous les fabricants de ne pas disposer aujourd’hui d’une offre complète. « Il existe de nombreux outils qui peuvent aider une organisation à adopter ce concept, mais aucun produit ne couvre tout ». Le zero trust comprend, entre autres, la sécurité des identités, la gestion des accès et la segmentation des réseaux.
Une enquête récente de la Cloud Security Alliance montre que pas moins de 80 % des organisations considèrent le zero trust comme une priorité. 77 % des organisations prévoient un budget supplémentaire pour l’année prochaine afin de se concentrer sur cet aspect.
Le zero trust est un principe organisationnel important pour mettre fin aux cyberattaques modernes. Souvent, elles suivent un certain parcours. Premièrement, ils cherchent à accéder à l’environnement. Ils se déplacent ensuite sur le réseau et prennent le contrôle de comptes supplémentaires jusqu’à ce qu’ils disposent de suffisamment de privilèges pour mener des actions malveillantes.
Différentes technologies requises
Heath Mullins, analyste chez Forrester, a identifié le problème. « Prenons l’exemple du zero trust netwerk access, que de nombreux fabricants proposent comme substitut au VPN. En fonction de l’emplacement ou de l’état de sécurité de son appareil, vous pouvez accéder au réseau en plus des identifiants de connexion. Une telle technologie ne garantit pas que tout soit automatiquement zero trust. »
Il mentionne les différentes technologies nécessaires à la mise en œuvre du zero trust. « En raison de leur nombre élevé, les fabricants les emploient à tort et à travers et le terme est utilisé plus rapidement que souhaité. »
Consultation de sources indépendantes
Si vous voulez vraiment savoir si votre organisation fonctionne selon le modèle de zero trust, nous vous recommandons d’examiner cette publication complète du NIST. L’objectif est toujours d’empêcher l’accès non autorisé aux données avec des services où vous pouvez définir le contrôle d’accès de manière aussi granulaire que possible. En cas de doute, il est de toute façon toujours préférable de suivre une autorité indépendante telle que le National Institute of Standards and Technology (NIST) plutôt que les conseils subjectifs d’un fabricant de produits de sécurité.