La plupart des RSSI sont conscients de l’amélioration de la sécurité qu’apportera le zero trust. Mais les changements culturels et technologiques font que le chemin est ardu et qu’il faut à la fois faire preuve de sens des affaires et de perspicacité technique pour le traverser.

Le zero trust est devenu une référence en matière de gestion des accès dans le domaine de la sécurité. Mais si les RSSI ont largement adopté cette approche, fondée sur la philosophie selon laquelle aucune personne ou entité informatique ne doit être digne de confiance à l’intérieur ou à l’extérieur du réseau de l’entreprise, toutes les entreprises n’ont pas encore achevé leur parcours. Près des deux tiers (63 %) dans le monde ont mis en œuvre une stratégie zero trust dans une certaine mesure, selon une étude réalisée en 2024 par le cabinet d’études Gartner. Toutefois, un grand nombre d’entre elles (58 %) commencent à peine à s’engager dans cette voie, avec moins de 50 % de leurs environnements couverts. « La majorité des entreprises ont mis en place une stratégie », déclare John Watts, vice-président analyste et responsable des initiatives clés chez Gartner. Mais, note M. Watts, de nombreux responsables de la sécurité en sont encore à piloter les technologies d’habilitations et à construire l’architecture nécessaire, tout en s’efforçant de surmonter les obstacles. Pour vous aider à mieux comprendre les composantes, les complexités et les défis d’une telle entreprise, plusieurs RSSI partagent leurs expériences en matière de zero trust.

Attention au manque de gouvernance

Pour Mary Carmichael, directrice de l’activité gestion de risque chez Momentum Technologies, la démarche zero trust consiste autant à changer la culture qu’à faire évoluer l’infrastructure de sécurité d’une entreprise. Embauchée il y a deux ans en tant que consultante auprès d’une agence de régulation canadienne, Mary Carmichael a tout de suite perçu la nécessité d’améliorer la posture de sécurité de la société de conseil, qui comptait de nombreux travailleurs distants manipulant des données sensibles, dont une grande partie était fournie par les entités qu’elle régulait. La société, comme de nombreuses organisations, disposait d’une infrastructure de sécurité qui, pour l’essentiel, faisait confiance aux entités – personnes, appareils et applications – une fois qu’elles se trouvaient dans l’environnement IT, explique Mme Carmichael. « C’était comme ça : Une fois que vous vous connectiez au réseau, vous étiez en confiance. Mais le zero trust consiste à valider tout au long du processus. C’est un grand changement », poursuit la directrice et membre du groupe de travail sur les tendances émergentes de l’association professionnelle de gouvernance ISACA. Momentum Technologies disposait d’une capacité de base en matière de gestion des identités et des accès (IAM), mais pas d’authentification multifactorielle (MFA) ni de gestion des accès à privilèges (PAM), deux technologies clés impliquées dans les architectures zero trust. Il ne disposait pas non plus des outils nécessaires pour suivre les mouvements d’une entité dans l’environnement, de sorte qu’il n’y avait aucun moyen de contester l’accès d’une entité à chaque système qu’elle essayait d’utiliser, explique Mme Carmichael. Et bien que l’agence ait à un moment donné créé des identités et les ait associées à des niveaux d’accès appropriés, elle a connu un « glissement d’accès, car il n’y avait pas de gouvernance et, lorsque des personnes quittaient l’entreprise, il y avait un délai pour les faire sortir du système de gestion des identités », explique la dirigeante. Mais pour commencer à s’attaquer à la posture de sécurité de la SSII, la directrice a d’abord dû fournir aux parties prenantes une définition commune du zero trust et une raison convaincante d’investir dans le travail nécessaire. Ce n’est qu’ensuite qu’elle a pu informer la société sur les éléments technologiques nécessaires à la création d’un environnement zero trust, tels que la segmentation réseau, le PAM et le MFA, ainsi que sur les changements de processus qui seraient nécessaires pour la mettre en œuvre.

Approche organisationnelle et soutien de la direction nécessaires

Nick Puetz, directeur général en charge de la stratégie cybersécurité au sein du cabinet de conseil Protiviti, explique que le parcours de Mme Carmichael reflète celui de la plupart des entreprises, qui ont souvent mis en place diverses composantes zero trust avant d’adopter officiellement l’approche, mais qui ne fonctionnent pas de manière concertée. L’utilisation d’un framework zero trust peut s’avérer utile. « C’est un moyen de rassembler tous les éléments diffus », explique-t-il. Alors que Mme Carmichael faisait progresser la société de conseil sur la voie du zero trust, son principal obstacle était d’amener l’entreprise à accepter le changement. Avec le zero trust, les chefs d’entreprise et les RH ont un travail important à faire pour créer et régir les identités et établir le niveau d’accès approprié pour chaque identité, explique Mme Carmichael. Ils doivent en outre assumer la responsabilité de ce travail et le gérer en permanence. Il s’agit là d’un changement organisationnel, souligne-t-elle, et c’est pourquoi la gestion du changement organisationnel et le soutien de la direction sont essentiels pour réussir le passage au zero trust. Le fait de mettre l’accent sur la « valeur à risque » – ce qui se passerait si des pirates accédaient à des données sensibles pour créer l’urgence du changement – a permis d’obtenir le soutien des parties prenantes de l’entreprise en faveur du zero trust. Il en va de même pour l’éducation et la formation, ajoute Mme Carmichael. « Le passage au zero trust implique tellement de groupes différents, de changements de processus et de personnes. Je ne pense pas que les gens soient conscients de l’ampleur des changements nécessaires pour parvenir au zero trust », dit-elle.

Définir, identifier et classer les joyaux de la couronne

Lorsque Niel Harper était RSSI au Bureau des Nations Unies pour les services d’appui aux projets, il était confronté à une tâche colossale : assurer la sécurité d’une organisation comptant 8 000 utilisateurs répartis dans le monde entier, dont beaucoup travaillaient sur le terrain, loin de ses bureaux de Copenhague, Genève et New York. En réponse, M. Harper a lancé l’organisme sur la voie du zero trust au cours de son mandat 2019-2022. Comme Mme Carmichael, il a commencé par examiner le réseau, les terminaux, les applications, les charges de travail, les données et les identités de l’organisation pour comprendre où les contrôles granulaires pouvaient et devaient être placés. Il a également dû déterminer, en fonction des objectifs de l’entreprise et des actifs critiques, quels composants techniques et quels changements de processus seraient nécessaires pour passer d’une confiance implicite au zero trust. “Définissons nos joyaux de la couronne ; il s’agit généralement de 2 à 10 % de vos données ou de vos actifs. Identifiez-les et classez-les – critiques, de grande valeur, confidentielles, strictement confidentielles. Vous aurez ainsi une meilleure idée de ce que vous voulez protéger”, explique-t-il. « Ensuite, examinez les investissements technologiques qui correspondent le mieux aux objectifs que vous avez définis afin d’obtenir un ensemble d’actifs à protéger par ordre de priorité. » M. Harper a également pris le temps d’identifier les gains rapides et les domaines dans lesquels le zero trust n’est pas réalisable, notamment en ce qui concerne les technologies existantes.

Pour mettre en œuvre sa stratégie, M. Harper a adopté une approche progressive. « Je ne pense pas que le zero trust soit adaptée à un big bang ; il est trop perturbateur », explique-t-il, ajoutant qu’il a convoqué des groupes d’utilisateurs dès le début du processus. « Une architecture zero trust introduit des frictions supplémentaires, car elle vérifie en permanence l’accès des personnes, leur identité, leurs autorisations, et ces frictions peuvent être frustrantes pour les utilisateurs », explique-t-il. “Nous avons donc mis en place des groupes de réflexion et des équipes inter-fonctionnelles composées de représentants des utilisateurs, afin d’expliquer nos objectifs et de permettre aux utilisateurs de nous faire part de leurs difficultés et de leurs préoccupations, de sorte que la mise en œuvre des contrôles ne nuise pas à l’expérience des utilisateurs. Il ne faut pas dégrader la qualité de l’expérience pour les utilisateurs. Il faut toujours trouver un équilibre entre la convivialité et la sécurité”. Pour aller de l’avant, l’équipe de M. Harper a d’abord mis en place des contrôles dans les bureaux, en commençant par les mesures à effet rapide. Il s’agissait notamment d’implémenter le MFA et la technologie permettant d’appliquer l’accès conditionnel. M. Harper a ensuite établi une feuille de route pour les mises en œuvre plus complexes qui pourraient se poursuivre après son départ de l’organisation. M. Harper, qui est aujourd’hui RSSI et responsable mondial de la protection des données chez l’éditeur de logiciels Doodle, ainsi que vice-président du conseil d’administration de l’ISACA, explique qu’il adopte une approche similaire pour faire progresser un modèle zero trust dans sa nouvelle entreprise.

Quand les personnes, les processus et les systèmes se rejoignent

Un piratage survenu en 2021 a mis le constructeur de BTP OHLA USA et son DSI, Srivatsan Raghavan, sur la voie du zero trust. L’incident, explique le dirigeant, a mis en évidence le fait que les mesures de sécurité qui avaient été mises en place étaient collectivement inadéquates. « Pendant plusieurs années, nous n’avons connu aucun incident, et nous pensions donc que nous faisions quelque chose de bien. Je ne parlerais pas d’excès de confiance, mais d’un sentiment de validation », explique M. Raghavan. La violation a remis en question cette validation et a donné à l’entreprise un tremplin pour faire mieux, parce qu’avec le zero trust, on pense que les outils [de sécurité] ne sont pas suffisants. M. Raghavan, qui supervise la sécurité, et son équipe ont commencé par un examen de conscience : « Nous avons dû réfléchir à la manière dont nous fonctionnions au quotidien. Nous avons mis tout cela sur la table et nous y avons réfléchi. » Il explique que cela lui a montré la nécessité d’ajouter des contrôles supplémentaires – comme c’est généralement le cas pour une organisation qui met en place un environnement de sécurité zero trust – ainsi que la nécessité de briser les silos. « Nous avons dû détruire tous ces silos dans l’organisation pour que l’informatique devienne une meilleure équipe informatique et qu’elle ait une meilleure compréhension de l’ensemble de l’entreprise », explique-t-il.

Pour y parvenir, M. Raghavan a créé un framework en combinant ceux du National Institute of Standards and Technology (NIST) et de Microsoft. Ce cadre personnalisé propose à son équipe d’évaluer et d’aborder les projets à mesure qu’ils font progresser l’entreprise sur la voie du zero trust. Cet environnement les aide également à évaluer les performances de l’entreprise en matière d’identification, de protection, de détection, de réponse et de récupération en cas d’intrusions et d’incidents potentiels dans des domaines spécifiques. M. Puetz, directeur général de Protiviti, explique que de nombreuses organisations trouvent de la valeur dans le zero trust pour des raisons similaires. « Le zero trust permet aux RSSI de diviser leur stratégie en petits morceaux et d’expliquer où en est le programme de cybersécurité et où il doit aller », ajoute-t-il. M. Raghavan a réalisé des progrès significatifs dans la maturation de son programme zero trust. Par exemple, il a éliminé l’utilisation d’un réseau étendu (WAN) et l’a remplacé par des contrôles basés sur le cloud, y compris un VPN toujours actif, une solution de gestion des terminaux mobiles (MDM), le MFA et des capacités d’accès conditionnel.

Il a également abandonné les titres de gestionnaire de serveur et d’ingénieur réseau et opté pour les remplacer par ceux de responsables technologiques principal et junior afin de briser les silos. « Nous ne voulions pas cloisonner les responsabilités. Nous voulions refléter l’interdépendance du travail », ajoute M. Raghavan, qui a obtenu le titre de Certified Information Security Manager (CISM) au cours de ce parcours. M. Raghavan estime que la philosophie zero trust place son entreprise – une grande société de construction qui prône le principe Pensez sécurité. Toujours. – sur la voie d’une sécurité plus sûre à mesure qu’elle adopte davantage d’automatisation et d’intelligence artificielle. « Le zero trust va faciliter la gestion de la sécurité et rendre les contrôles plus granulaires. Le zero trust consiste à gérer l’informatique de la manière la plus granulaire possible », ajoute-t-il. « C’est la direction stratégique que nous prenons, en examinant chaque processus d’entreprise pour rechercher les lacunes et les vulnérabilités, puis en trouvant des moyens de les renforcer en appliquant les principes zero trust à la façon dont nous menons nos activités. »