« Ce concept du Zero Trust est ancien, il date des années 90, souvenons-nous de ce que disait le président américain Reagan au dirigeant russe Gorbatchev lors d’une discussion sur le désarmement nucléaire : Faites confiance, mais vérifiez, c’est d’ailleurs un proverbe russe. Le principe du Zero Trust, c’est ça, vérifier tous les composants et se donner les moyens pour garantir leur approbation en termes de sécurité », lance en analogie Nicolas Arpagian, directeur de la stratégie cybersécurité chez Trend Micro. Ne faire confiance à personne, c'est l'interprétation première d'une approche Zero Trust, terme inventé par Forrester en 2010. Bref, se méfier de l'individu qui se cache derrière son terminal. Et pour le Zero Trust Network Access (ZTNA), on fait surtout référence à l’accès aux applications, le ZTNA fournit un accès à distance sécurisé aux applications et aux services sur la base de politiques de contrôle d'accès définies. « Le ZTNA est un sous-ensemble du Zero Trust qui concerne l’accès conditionnel aux applications (emplacement, niveau de mise à jour du poste, heure de connexion, etc.) », précise ainsi Giuliano Ippoliti, directeur de la cybersécurité chez le MSSP et fournisseur de services Cloud Temple (dont la plate-forme Secure Temple a été certifiée SecNumCloud par l’Anssi en mars dernier). Contrairement aux VPN qui accordent un accès complet à un réseau local, les solutions ZTNA le refusent par défaut, ne fournissant que l'accès aux services auxquels l'utilisateur a été explicitement accordé. L’intérêt du ZTNA est d’ailleurs grandissant, les organisations cherchant aussi à remplacer le VPN comme principal mécanisme d'accès à distance à leurs réseaux et à leurs données. Zero Trust ou ZTNA, les entreprises cherchent, de toute façon, à renforcer la sécurité dans un environnement où les données d'entreprise sont dispersées dans des environnements sur site et multicloud, et sont accessibles de multiples façons.     

Et par rapport au modèle SASE ?  

Le Zero Trust vient en frontal avec le modèle Sase (Secure Access Service Edge), inventé lui plus récemment par le cabinet Gartner. À ce titre, les éditeurs sont partagés, certains indiquent que le Sase est une composante du Zero Trust alors que d’autres pensent que c’est l’inverse. « Personnellement, je pense que le Zero Trust donne une vision plus holistique que le SASE, lequel avance une convergence entre le réseau as a service et la sécurité as a service comme un Proxy Cloud par exemple. Dans le Sase, la focalisation sur le réseau est plus forte. Gartner recommande aussi d’avoir un seul fournisseur autour du SASE, c’est sûr que c’est toujours plus simple avec une console unique, mais c’est rarement le cas sur le terrain… », explique Giuliano Ippoliti.  

Mais au-delà de la sémantique et du nom du concept, c’est une réalité opérationnelle d’une politique de sécurité que prennent désormais en compte les décideurs IT et les RSSI. « Sur le terrain, ça prend… La prise de conscience pour s’assurer de l’intégralité du SI de l’entreprise est réelle, la définition du périmètre a évolué surtout avec une ouverture massive vers l’extérieur », précise Nicolas Arpagian qui ajoute néanmoins trois points qui participent à cette prise de conscience générale. Le premier consiste à nommer un donneur d’ordre qui énumère les gages de sécurité, le deuxième est d’engager les métiers avec les équipes Cyber. Enfin, la réglementation est souvent considérée, dans le domaine de la cyber, comme un vecteur d’encouragement. « La hausse des obligations juridiques fait bouger les choses », précise à ce titre le porte-parole de Trend Micro. Pour Julien Cassignol, directeur avant-vente chez Wallix, il y a encore un travail important d’évangélisation même si les gens y sont de plus en plus sensibles, la sécurité est toujours vécue comme un frein à la différence de la sûreté et de la production. De plus, les entreprises ne sont pas toutes au même stade de maturité, elles ont un historique à prendre en compte, c’est aux fournisseurs et à leurs partenaires de les amener à ce niveau supérieur de maturité. C’est surtout vrai pour les TPE/PME et ETI qui n’ont pas forcément des compétences en interne. Pour Benoit Grunemwald, expert cybersécurité chez ESET France, c’est parfois compliqué de faire comprendre à ces petites structures que les données ont de la valeur et, pour le prestataire ou partenaire, c’est difficile de vendre dans ces mêmes PME une analyse de risques, d’où l’importance du modèle MSSP qui facilite ainsi l’approche avec un certain niveau de résultat.