Vu la généralisation du télétravail à cause du coronavirus, les entreprises devraient appliquer le principe du “zero trust”

Les entreprises sont forcées de faire massivement télétravailler leurs employés en raison de l’épidémie de coronavirus. L’infrastructure et les données de l’organisation courent dès lors un risque accru de devoir faire face à des virus informatiques. Il est aujourd’hui évident que nos mécanismes de protection conventionnels, quelle que soit la qualité de leur implémentation, ne suffisent pas pour protéger une entreprise de manière optimale. Un intrus peut les franchir via une porte dérobée. Voilà pourquoi les entreprises ont tout intérêt à appliquer le principe du “zero trust”: ne faire confiance à personne et n’octroyer un accès aux utilisateurs qu’aux seuls éléments auxquels ils ont droit.

Le “zero trust” (“zéro confiance”) est un terme bien connu depuis déjà quelques années dans le monde de la cyber-sécurité mais nombreuses sont les sociétés qui n’appliquent pas encore ce concept. Pourtant, il semble devoir être à l’avenir la seule manière pour vous d’être réellement sûr que vos informations opérationnelles sont suffisamment protégées. Il n’existe malheureusement pas de solution qui vous offre une sécurité absolue. Toutefois, grâce au “zero trust”, vous faites tout ce qu’il est possible de faire.

En quoi consiste précisément ce “zero trust”? Il faut tout d’abord savoir que le “zero trust” n’est pas un produit que l’on peut acheter tout fait. Il s’agit d’un principe qui doit être présent à tous les niveaux de votre entreprise. Un accès à l’information n’est octroyé qu’aux seuls utilisateurs auxquels vous faites confiance. Cette confiance doit être reconfirmée lorsqu’ils demandent un accès. Impossible dès lors d’avoir accès sans s’identifier et sans préciser ce que l’on vient faire.

Le “zero trust” s’applique par ailleurs à tout le monde: tant aux utilisateurs externes qu’internes. L’homme demeure en effet toujours le maillon le plus faible. C’est ainsi que la plupart des violations de données, au sein des entreprises, sont le fait d’une seule personne. La majorité des infections se produisent tout simplement à cause d’un courriel entrant qui, à terme, contamine la totalité du système. Aujourd’hui que les employés doivent soudain travailler en masse depuis leur domicile en raison de l’impact du coronavirus, les entreprises doivent absolument mieux protéger leur infrastructure et leurs données. Chaque entreprise n’y étant pas préparée, le nombre de virus électroniques ne fera malheureusement qu’augmenter sensiblement au cours des semaines à venir.

Ne faire confiance à personne

Si l’on y réfléchit bien, il est parfaitement logique que les entreprises s’emparent d’un principe à ce point strict. Chez nous, nous n’ouvrons après tout notre porte qu’aux personnes que nous connaissons et en qui nous avons confiance. Ce n’est qu’après que le visiteur ait clairement expliqué les raisons de sa venue que nous le laissons entrer chez nous. Si vous deviez laisser toutes les personnes inconnues pénétrer dans votre salon, il ne faudrait pas s’étonner que des choses finissent par disparaître. Pourtant, en informatique, on a toujours fait l’inverse: laisser d’abord entrer les gens et ensuite résoudre les éventuels problèmes.

Bien entendu, l’idée du “zero trust” n’a rien de bien neuf mais la plupart des entreprises fonctionnent encore à l’ancienne. Elles ont créé une politique spécifique pour chaque domaine: une politique pour le travail interne, une autre pour le site Internet externe, pour la communication avec les partenaires, etc. La mise en oeuvre du “zero trust” implique d’appliquer partout les mêmes règles. On ne fait de facto confiance à personne, ce qui oblige les entreprises à réfléchir à l’identité des personnes auxquelles octroyer un accès à des données spécifiques. La manière précise dont elles procèdent varie d’une société à l’autre. En effet, l’organisation d’une société industrielle, pour prendre cet exemple, diffère de celle d’une banque.

Il n’est dès lors pas toujours simple d’implémenter le “zero trust”. La plupart des entreprises ont connu une croissance organique et se retrouvent dans des situations qui exigent beaucoup de travail pour harmoniser tous les systèmes. Elles doivent donc commencer par réécrire leurs conventions. La nouvelle politique doit ensuite être déployée à travers toute l’entreprise. Un manque de temps et de budget explique qu’une bonne partie des plans de déploiement ne se concrétisent jamais.

Un certificat “zero trust”

S’il est dès lors compréhensible que de nombreuses sociétés n’appliquent pas encore le principe du “zero trust”, nous devons par contre nous rendre compte qu’il deviendra demain la norme plutôt que l’exception. Ceux qui implémentent le “zero trust” se rapprochent sensiblement d’une mise en conformité avec les règles RGPD. Bien entendu, le RGPD va bien au-delà du concept “zero trust” mais ce dernier constituerait déjà un grand pas franchi par les entreprises.

Dans ce contexte, ou tout simplement parce que la sécurité ne cesse de gagner en importance, nous plaidons en faveur de l’introduction d’une sorte de label “zero trust”. Une telle certification ne serait octroyée qu’aux entreprises qui ont déjà tout mis en oeuvre pour optimiser leur dispositif de protection. Pour rendre une telle évaluation possible, il est nécessaire de constituer une liste de contrôle incluant tout ce que doivent faire les entreprises pour implémenter le “zero trust”.

Ce genre de certificat peut également s’avérer un incitant supplémentaire, poussant une entreprise à introduire le principe du “zero trust”. Trop nombreuses sont encore les organisations qui continuent de croire, à tort, que rien ne peut de toute façon leur arriver. La sécurité exige bien souvent d’importants efforts et une bonne dose d’investissements financiers mais ils sont bien peu de chose en comparaison des coûts que doivent encaisser les victimes de maliciels. A long terme, le “zero trust” s’avérera payant, justifiant chaque cent investi. Et quiconque l’applique dès à présent y gagnera en tout cas un sommeil plus serein au cours des semaines ou mois qui suivent, placés sous le signe du coronavirus.