LMi-MAG29 mars - Flipbook - Page 51
Zero trust pour ne jamais faire con昀椀ance,
un déploiement sur le temps long
tiers », précise-t-il. Raphael Marichez plaide donc pour
un rapprochement des outils - chose faite chez Palo
Alto avec l’offre unifiée Cortex Cloud (Prisma Cloud
+ Cortex XDR) - et, par ricochet, des équipes SOC et
cloud. C’est d’autant plus important que les SOC n’ont
pas de visibilité globale et que l’IA va accentuer cette
tendance. En effet, l’agent IA, qualifié d’identité synthétique par le porte-parole de l’éditeur, doit être
considéré comme un potentiel malveillant, il faut le
surveiller.
Rapprochement des outils
© DR
S
elon Benoît Grunemwald, expert en cybersécurité
notamment pour le compte d’Eset, le zero trust
doit être diffusé dans la conception d’une
stratégie cyber de A à Z : « Typiquement, si
je prends l’exemple de l’arrivée du protocole MCP
pour les interactions entre les agents IA, on se doit
d’appliquer une sécurité de type zero trust, il faut
toujours partir du principe que je ne fais confiance
à personne. » Ainsi, pour ces agents IA, peuvent
être appliquées l’authentification et l’autorisation
granulaires pour chaque requête. Il est important pour
les entreprises d’adopter ce type de modèles de sécurité
au lieu de s’appuyer uniquement sur leurs défenses
périmétriques historiques. Même si ces dernières sont
indispensables, elles restent une composante d’une
stratégie de défense en profondeur plus large selon
Jérémie Schram, directeur technique de WatchGuard
France, tout en rappelant que dans le concept du zero
trust, il n’existe pas de tiers de confiance. Un avis que
partage aussi Sébastien Viou, directeur technique de
Fortinet, le principe du zero trust ne date pas d’hier, il
a toujours été appliqué en cybersécurité. « Il s’inscrit
dans une logique de défense en profondeur, de défense
des assets sur chaque niveau d’exposition. En revanche,
ce qui est plus récent, c’est l’évolution rapide des
technologies, SaaS et cloud. Aujourd’hui, nous sommes
sur l’application du zero trust à l’applicatif source avec
des autorisations pour chaque accès utilisateur ou
machine. »
Pour Pierre-Yves Hentzen, PDG de Stormshield, la
confiance doit être explicite et l’identité seule n’est plus
suffisante. L’éditeur travaille d’ailleurs sur une nouvelle
offre reposant que sur le concept de zero trust en mettant en avant une combinaison de technologies (MFA,
système de contrôle de conformité du poste, contrôle
contextuel afin de savoir où le poste se connecte,
micro-segmentation pour isoler l’attaque dans un segment du réseau, etc.).
De son côté, Raphael Marichez, CSO France et Europe
du Sud chez Palo Alto, axe son discours sur la confiance
accordée aux jeux de données, surtout à l’heure de
l’usage des IA Gen. Et pour implémenter le zero trust
sur le cycle de vie de la donnée, une compréhension
des identités est nécessaire mais, plus largement, il faut
savoir comment tout cela circule à plusieurs niveaux
(datacenters, API, services SaaS, etc.). « Il faut accepter
cette observation globale y compris sur des services
Une démarche en continu
La démarche zero trust consiste à réduire la confiance
implicite accordée aux utilisateurs et aux activités
menées par le biais des équipements de l’entité. Les
demandes d’accès doivent donc être contrôlées de la
même manière quelles que soient leurs origines. Et surtout, ces authentifications et autorisations d’accès aux
ressources doivent faire l’objet de réévaluations régulières, un point sur lequel insiste régulièrement l’Anssi.
L’autorité rappelle aussi que l’adoption d’un modèle zero
trust et l’architecture associée ne se substituent aucunement à l’inventaire et au contrôle des terminaux clients
utilisés pour accéder aux ressources et aux services. Il
conviendra ainsi de continuer d’appliquer les principes
de gestion et de maîtrise des risques afin d’assurer la
protection du patrimoine.
PROFIL LINKEDIN
tinyurl.com/linkedin-Viou
SÉBASTIEN VIOU
directeur technique de Fortinet
Le zero trust n’est pas la solution miracle car au-delà des
aspects techniques, il impose un changement majeur de
culture et sa mise en œuvre est continue, sur le temps
long pour en tirer des bénéfices. C’est d’autant plus
compliqué que sa définition est très variable selon les
entreprises. Buzzword ou pas, sa stratégie reste pertinente, mais son succès passera également par un soutien ferme de la direction.
51
