L'agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a publié la version 2 de son modèle de maturité zero trust (ZTMM), intégrant les recommandations issues des commentaires publics reçus sur la première mouture. « La Cisa s'est attachée à guider les agences, qui se trouvent à différents stades de leur parcours, dans la mise en œuvre d'une architecture zero trust », a déclaré Chris Butera, directeur technique pour la cybersécurité à la Cisa. « En tant que feuille de route parmi d'autres, le modèle actualisé guidera les agences à travers un processus méthodique et une transition vers une plus grande maturité en matière de zero trust. Bien qu'il soit applicable aux agences civiles fédérales, toutes les organisations trouveront ce modèle intéressant à examiner et à utiliser pour mettre en œuvre leur propre architecture ». L'agence a publié la première version de son modèle ZTMM en septembre 2021, conformément au décret plus large sur la cybersécurité publié par le président Biden en mai 2021. Celui-ci a défini une série d'initiatives et d'objectifs en matière de cybersécurité, notamment en incitant les agences du gouvernement fédéral à se rapprocher des architectures zero trust. En janvier 2022, l'OMB a également publié une stratégie fédérale ZTA dans le cadre du décret exécutif, exigeant des agences qu'elles respectent des normes et des objectifs spécifiques en matière de cybersécurité d'ici à la fin de l'année 2024.

Le zero trust est à la mode depuis quelques années dans le domaine de la gestion des risques liés à la cybersécurité. Ce modèle englobe de nombreux concepts qui sont souvent difficiles à saisir et encore plus difficiles à mettre en œuvre. La Cisa le définit comme « une approche dans laquelle l'accès aux données, aux réseaux et à l'infrastructure est limité au strict nécessaire et où la légitimité de cet accès doit être vérifiée en permanence ». Selon le National Institute of Standards and Technology (NIST), le ZTA est le programme de cybersécurité d'une entreprise qui utilise les concepts zero trust et englobe les relations entre les composants, la planification des workflows et les politiques d'accès. Par conséquent, une entreprise zero trust comprend l'infrastructure de réseau (physique et virtuelle) et les politiques opérationnelles. Theresa Payton, CEO de Fortalice, souligne la difficulté d'adoption pour les entreprises des approches permettant d'atteindre les objectifs des stratégies et modèles zero trust. Même la terminologie ZTA ressemble à une sorte de grand puzzle pour lequel il suffit de suivre les instructions, de tout brancher pour l'obtenir mais tout n'est pas si simple, explique-t-elle. « Le plus grand défi que je vois est un manque d'appréciation du fait qu'il ne s'agit pas vraiment d'un long fleuve tranquille. J'entends les gens décrire cela comme une simple routine, mais il s'agit en fait d'un choix de vie ».

L'étape cruciale de l'initialisation du zero trust

Le modèle ZTMM de la Cisa comprend cinq piliers : identité, terminaux, réseaux, applications et workflows, ainsi que les données. Elle s'articule aussi au travers de trois capacités transversales : la visibilité et l'analyse, l'automatisation et l'orchestration, ainsi que la gouvernance.  Selon le modèle actualisé, il existe quatre stades de maturité : traditionnel, initial, avancé et optimal. « Les trois étapes du parcours ZTM qui permettent de passer du stade traditionnel au stade initial, avancé et optimal faciliteront la mise en œuvre de la ZTA au niveau fédéral. Chaque étape suivante exige des niveaux de protection, de détail et de complexité plus élevés pour être adoptée », a déclaré l'agence. L'ajout de la phase initiale est le changement le plus important entre le modèle ZTMM original et la version actualisée. Selon la Cisa, cette étape s'adresse aux entreprises qui commencent tout juste à « automatiser l'attribution des attributs et la configuration des cycles de vie, les décisions politiques et l'application, et les solutions initiales inter-piliers avec l'intégration de systèmes externes ». Theresa Payton félicite la Cisa d'avoir ajouté la phase initiale au modèle de maturité zero trust. Elle apporte ainsi un point de départ aux personnes qui ne savent pas trop par où commencer. Le nouveau modèle fournit « quelques éléments fondamentaux que vous pouvez mettre en œuvre et qui vous aideront à atteindre les principes du ZTA », dit-elle.

« Ce qu'ils ont fait, c'est qu'ils ont pris les plus de 300 commentaires qu'ils ont reçus des agences et des consultants, des vendeurs, de la communauté tout simplement, qui ont commenté le modèle précédent », explique Eric Noonan, CEO de CyberSheath. « Ils ont ensuite créé un produit qui intègre les commentaires en ajoutant la phase initiale car ils ont reconnu que passer de la première phase, qui est traditionnelle, à la phase suivante, qui est avancée, constituait un trop grand écart. Je pense donc qu'ils ont mis davantage l'accent sur le fait qu'il ne s'agit pas d'un interrupteur ». L'ajout de la phase initiale montre que le passage au zero trust n'est pas une ligne droite, explique M. Noonan. « Ce n'est en aucun cas une démarche linéaire. L'étape initiale le reconnaît et donne aux entreprises qui souhaitent adopter ce modèle un moyen plus pratique et plus réalisable d'y parvenir d'une manière plus mesurable, plutôt que de passer simplement de zero à cent ».

L'absence de prise en compte de l'IA en question

La Cisa a mis un peu plus d'un an et demi pour mettre à jour son ZTMM initial, ce qui, selon madame Payton, est un délai trop long compte tenu du rythme de l'évolution technologique, en particulier des progrès rapides en matière d'intelligence artificielle. Elle évoque une situation récente dans laquelle des employés de Samsung auraient divulgué des informations sensibles et confidentielles de l'entreprise à la plateforme ChatGPT d'Open AI. « J'ai été un peu surprise que la loi n'aborde pas l'IA, et cela montre à quel point elle peut être difficile, donc ce n'est pas une critique de la Cisa. Mais cela montre à quel point il peut être difficile de suivre l'innovation et la transformation technologiques » La ZTMM ne traite pas de l'intelligence artificielle, de l'apprentissage automatique ou de l'IA générative. Cela n'y figure pas.

Theresa Payton souhaiterait que l'agence soit autorisée à mettre à jour plus rapidement son modèle à l'avenir. « J'aimerais que la Cisa ait l'autorité et les garde-fous nécessaires pour agir plus rapidement. De nouvelles technologies sont introduites. Il faut leur permettre de mettre à jour les modèles, les orientations, les cadres et les politiques pour suivre le rythme du marché. Eric Noonan, quant à lui, a un autre point de vue sur le moment choisi pour cette mise à jour. « Je pense qu'ils ont fait d'énormes progrès », dit-il. « La deuxième itération du modèle en l'espace de deux ans témoigne de l'importance accordée par le gouvernement fédéral à cette question, ainsi que de l'importance et des progrès réalisés en matière de zero trust ».