Selon une étude réalisée par Fortinet en début d’année 2022 (Global State of Zero Trust), 50 % des entreprises ont indiqué qu'elles n'étaient pas en mesure de mettre en œuvre les principales fonctionnalités du concept Zero Trust pour plusieurs raisons. Déjà, les entreprises (pour 60 % d’entre elles) ont du mal à identifier les utilisateurs et les terminaux (postes de travail, smartphones, etc.) de manière continue, et 54 % avaient du mal à surveiller les utilisateurs après l'authentification. Plus généralement, les entreprises font également face à un manque de ressources qualifiées et une complexité de déploiements des solutions dédiées. Comme le mentionnent nos interlocuteurs, avant tout, il est primordial d’établir une stratégie avec une vision globale et un agenda pour le déploiement. Mais cela ne se décrète pas du jour au lendemain. « Dans les entreprises, il y a des contraintes quotidiennes (priorités, budgets, disponibilités des équipes, formations, ressources, etc.). Il faut se poser la question par où commencer ? », rappelle à juste titre Nicolas Arpagian, directeur de la stratégie cybersécurité chez Trend Micro, et d’ajouter : « Déjà par un travail d’évaluation pour lister l’état des besoins et le faire de manière progressive en fonction de la criticité des enjeux, puis de l’étendre. » Un avis que partage Julien Cassignol, directeur avant-vente chez Wallix : « L’entreprise qui commence par un audit va tout de suite percevoir un gain, cet audit lui servant aussi de preuve. »  

De l’état des lieux à une politique d’accès  

Un état des lieux permet aussi d’avoir une description des technologies utilisées dans les entreprises, c’est d’autant plus important que ces dernières sont parfois dissimulées par les métiers et parfois vulnérables de par leur obsolescence tout simplement. Ensuite, l’entreprise doit mettre en place une politique d’accès à distance (gestion des identités, des privilèges, etc.). « Je vais commencer par mettre un mot de passe comme point d’entrée au système, il faut aussi autoriser la personne à rentrer par des solutions d’authentification multifacteurs puis opérer de l’élévation de privilège pour que l’utilisateur en question puisse faire ce que je lui autorise dans un cadre précis. À chaque étape, nous apportons de la valeur », détaille Julien Cassignol.  

Ce schéma détaillé des éditeurs, les prestataires de services en cyber le partage aussi à l’instar de Cloud Temple. « La bonne façon de débuter est de s’interroger sur les actifs de l’entreprise qui ont de la valeur, et cela nécessite d’avoir une vue claire des éléments du SI. La modélisation du SI est importante pour identifier les utilisateurs, les équipements et inventorier les ressources. Ensuite, dans cette politique, il faut établir des règles, tel utilisateur a le droit d’accéder à des applications », indique Giuliano Ippoliti, directeur de la cybersécurité chez le MSSP et fournisseur de services Cloud Temple.  

Un processus en continu  

La mise en place du Zero Trust ne s’arrête jamais, c’est un processus en continu sur les équipements (nouvelles infrastructures), les individus (départs, arrivées, mouvements internes) et sur l’évaluation de la connaissance permettant de mieux identifier les menaces. Dans ces conditions, le choix des outils est essentiel. Pour cela, la pérennité de l’éditeur et/ou de l’infogéreur compte énormément.  De manière générale, de nombreuses entreprises ont déjà mis en place des pièces du puzzle Zero Trust et/ou ZTNA, qu'il s'agisse de la gestion des identités, du contrôle d'accès, de l'authentification à deux facteurs, de la segmentation du réseau ou de la gestion des politiques. Mais en réalité, peu d’entre elles ont une maîtrise totale de tous les aspects de Zero Trust (complète, intégrée, évolutive et axée sur des politiques de gouvernance).