• Votre panier est vide.

  • COMPTE

Qu’est-ce que la confiance zéro ? Cela dépend de ce que vous voulez entendre


Certains articles de veille peuvent faire l'objet de traduction automatique.


La confusion sur la signification et l’objectif réels de la confiance zéro rend plus difficile la mise en pratique de ces idées. Les partisans de la confiance zéro sont largement d’accord sur les objectifs généraux et la finalité de l’expression, mais les cadres ou les administrateurs informatiques qui ont d’autres chats à fouetter peuvent facilement s’égarer et finir par mettre en œuvre des protections de sécurité qui ne font que renforcer les anciennes approches au lieu d’inaugurer quelque chose de nouveau.

« Ce que l’industrie de la sécurité fait depuis 20 ans, c’est simplement ajouter des cloches et des sifflets supplémentaires – comme l’IA et l’apprentissage automatique – à la même méthodologie », explique Paul Walsh, fondateur et PDG de la société MetaCert, spécialisée dans la lutte contre le phishing basée sur la confiance zéro. « Si ce n’est pas la confiance zéro, c’est juste de la sécurité traditionnelle, peu importe ce que vous ajoutez ».

Les fournisseurs de cloud computing, en particulier, sont toutefois en mesure d’intégrer les concepts de confiance zéro dans leurs plates-formes et d’aider les clients à les adopter dans leurs propres organisations. Mais Phil Venables, responsable de la sécurité informatique de Google Cloud, note que lui et son équipe passent beaucoup de temps à expliquer aux clients ce qu’est réellement la confiance zéro et comment ils peuvent en appliquer les principes dans leur propre utilisation de Google Cloud et au-delà.

« Il y a pas mal de confusion là-bas », dit-il. « Les clients disent : « Je pensais savoir ce qu’était la confiance zéro, et maintenant que tout le monde décrit tout comme de la confiance zéro, je le comprends moins ».

Outre le fait de s’entendre sur la signification de l’expression, le plus grand obstacle à la prolifération de la confiance zéro est que la plupart des infrastructures actuellement utilisées ont été conçues selon l’ancien modèle de réseau à douves et châteaux. Il n’y a pas de moyen facile d’adapter ces types de systèmes à la confiance zéro, car les deux approches sont fondamentalement différentes. Par conséquent, la mise en œuvre des idées derrière la confiance zéro partout dans une organisation implique potentiellement des investissements importants et des inconvénients pour réarchitecturer les systèmes existants. Et ce sont précisément les types de projets qui risquent de ne jamais être réalisés.

Cela rend la mise en œuvre de la confiance zéro dans le gouvernement fédéral – qui utilise un fatras de fournisseurs et de systèmes hérités qui nécessiteront des investissements massifs en temps et en argent pour être réorganisés – particulièrement difficile, malgré les plans de l’administration Biden. Jeanette Manfra, ancienne directrice adjointe pour la cybersécurité au CISA qui a rejoint Google fin 2019, a vu la différence de première main en passant de l’informatique gouvernementale à la propre infrastructure interne du géant de la technologie axée sur la confiance zéro.

« Je venais d’un environnement où nous investissions des sommes tout simplement énormes de l’argent des contribuables dans la sécurisation de données personnelles très sensibles, de données de mission, et je voyais la friction que vous ressentiez en tant qu’utilisateur, en particulier dans les agences plus axées sur la sécurité », dit-elle. « Que vous pourriez avoir plus de sécurité et une meilleure expérience en tant qu’utilisateur était tout simplement époustouflant pour moi. »

Ce qui ne veut pas dire que la confiance zéro est une panacée en matière de sécurité. Les professionnels de la sécurité qui sont payés pour pirater les organisations et découvrir leurs faiblesses numériques – connus sous le nom de red teams – ont commencé à étudier ce qu’il faut pour pénétrer dans les réseaux de confiance zéro. Et dans la plupart des cas, il est encore assez facile de cibler les parties du réseau d’une victime qui n’ont pas encore été mises à niveau en tenant compte des concepts de confiance zéro.

« Une entreprise qui déplace son infrastructure hors de ses locaux et la place dans le cloud avec un fournisseur de confiance zéro fermerait certaines voies d’attaque traditionnelles », déclare Cedric Owens, membre de longue date de l’équipe rouge. « Mais, en toute honnêteté, je n’ai jamais travaillé dans un environnement de confiance zéro ou fait partie d’une équipe rouge. » Owens souligne également que si les concepts de confiance zéro peuvent être utilisés pour renforcer matériellement les défenses d’une organisation, ils ne sont pas à l’épreuve des balles. Il souligne que la mauvaise configuration des nuages n’est qu’un exemple des faiblesses que les entreprises peuvent introduire involontairement lorsqu’elles passent à une approche de confiance zéro.

Selon Mme Manfra, il faudra du temps pour que de nombreuses organisations saisissent pleinement les avantages de l’approche de confiance zéro par rapport à ce qu’elles utilisent depuis des décennies. Elle ajoute cependant que la nature abstraite de la confiance zéro a ses avantages. Concevoir à partir de concepts et de principes plutôt que de produits particuliers confère une flexibilité, et potentiellement une longévité, que des outils logiciels spécifiques n’offrent pas.

« Philosophiquement, cela me semble durable », dit-elle. « Vouloir savoir ce qui touche quoi et qui dans votre système sont toujours des choses qui seront utiles pour la compréhension et la défense. »


Voir aussi :

septembre 16, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  S'abonner  
Me notifier de
Culte du code | 2015-2020  (Vecteurs par Freepik, Parallax par fullvector)