Réinventer la sécurisation des services publics : entre urgence et nécessité

La numérisation de l'État s'est imposée comme une réalité incontournable. Portée par la crise du Covid, les tensions géopolitiques et l'explosion des échanges numériques, la transition vers le cloud est devenue un passage obligé pour les services publics. Cette évolution soulève de nouveaux défis en matière de cybersécurité : les architectures traditionnelles ne suffisent plus à garantir la protection des infrastructures critiques. Face à ces enjeux, le modèle Zero Trust s'impose comme une réponse stratégique pour assurer la pérennité des services publics.

Zscaler, leader mondial du Zero Trust et partenaire de 33 des entreprises du CAC 40, accompagne cette transformation avec une approche dédiée au secteur public. Citoyens, agents de l’État, personnels d’hopitaux, lycéens… tous sont concernés par la cybersécurité, car l’usage d’outils numériques et de services SaaS est déjà une réalité dans leur quotidien. Pourtant, peu d’organisations peuvent aujourd’hui prétendre que la gestion traditionnelle des infrastructures est suffisante.

Comment déployer une stratégie de sécurité adaptée aux usages modernes du secteur public alliant sécurisation des flux d’informations, protection des données et agilité opérationnelle?

Protéger les services critiques de l’État : l’urgence d’une approche Zero Trust

Les cyberattaques contre les infrastructures critiques de l’État ne sont plus seulement des menaces techniques : elles ont des conséquences humaines, financières et politiques majeures. Lorsqu’un hôpital est paralysé par une attaque, ce ne sont pas uniquement des données qui sont volées ou chiffrées : des vies sont en jeu. Chaque minute d’indisponibilité d’un service d’urgence, d’un centre de commandement ou d’une préfecture peut se traduire par des retards, des erreurs fatales et une perte de confiance des citoyens envers les institutions.

Malgré ces enjeux, les administrations sont souvent à court de ressources – budgétaires ou humaines – pour revoir en profondeur leur architecture de cybersécurité. C’est à ce niveau que le Zero Trust apporte une réponse pragmatique : plutôt que de colmater en permanence des brèches dans un système périmétrique vieillissant, il s’agit de reprendre l’initiative.

Grâce à la micro-segmentation et à des contrôles d’accès dynamiques, un centre de gestion de crise ou un hôpital sous Zero Trust ne devient pas une forteresse à défendre, mais une bulle imperceptible, imperméable aux mouvements latéraux et aux exfiltrations de données. L’IA joue également un rôle clé en affinant les permissions de manière granulaire : aucun accès n’est accordé par défaut, réduisant ainsi drastiquement la surface d’attaque.

L’État ne peut plus se permettre de fonctionner avec des architectures data-centric, périmétriques et entropiques qui ne font que grossir et multiplier les points d’entrée potentiels pour les attaquants. Les cybercriminels finiront toujours par trouver une faille… sauf si celle-ci n’existe tout simplement pas !

Invisibiliser ces infrastructures critiques, c’est garantir la continuité des missions essentielles de l’État. C’est en ce sens que le Zero Trust n’est plus une option, mais un impératif stratégique.

Sécuriser les « écosystèmes de circonstance » : sortir des modèles rigides

Au-delà du cadre strictement administratif ou informatique, la protection des données sensibles s’étend aux réalités opérationnelles du secteur public, là où la gestion de situations exceptionnelles impose une flexibilité que les modèles traditionnels de cybersécurité peinent à offrir. Que ce soit pour un transfert de prisonnier, le transport d’une œuvre d’art, ou encore la gestion d’une crise sanitaire ou sécuritaire, les administrations sont confrontées à des “écosystèmes de circonstance” qui nécessitent une coordination rapide entre acteurs multiples.

Dans ce type de situation, la sécurité des données repose souvent sur des mécanismes classiques : double authentification, messageries chiffrées, VPN... Mais ces mesures ne suffisent plus. Elles cloisonnent les accès sans empêcher les menaces modernes comme le mouvement latéral des attaquants une fois à l’intérieur du système, ou les attaques DDoS qui paralysent les services. Les administrations en ont conscience : elles finiront par se faire infiltrer si elles restent dans une approche périmétrique dépassée.

Le Zero Trust apporte une réponse à cette problématique. Il ne s’agit plus de bâtir des forteresses autour des données, mais de contrôler chaque interaction en temps réel, sans confiance implicite. C’est un changement de paradigme nécessaire pour garantir la sécurité dans un monde où les infrastructures sont hybrides, les usages nomades et les menaces toujours plus sophistiquées. Adopter cette approche, c’est permettre aux administrations de reprendre la main sur leur sécurité sans multiplier les dérogations, et ainsi assurer une protection continue et adaptée à la réalité du terrain.

Protéger les publics les plus vulnérables

La cybersécurité ne concerne pas uniquement la protection des infrastructures critiques ou la prévention des cyberattaques à grande échelle. Elle doit aussi s’adresser aux publics les plus fragiles : enfants, jeunes, personnes en situation de handicap, patients hospitalisés, personnes âgées… Ce sont eux qui sont les plus exposés aux risques numériques, qu’il s’agisse de cybermenaces directes ou d’un accès inapproprié à certaines ressources.

Aujourd’hui, la sécurisation repose encore trop souvent sur un modèle périmétrique dépassé : un accès par défaut, avec des restrictions ponctuelles, des VPN censés protéger les connexions… Mais cette approche ne fonctionne pas. Un adolescent équipé d’une tablette scolaire pourra facilement contourner un VPN et accéder à des contenus inappropriés. Un patient hospitalisé pourrait, sans le vouloir, exposer ses propres données médicales à un tiers malveillant. Le Zero Trust propose un changement de paradigme essentiel : ne plus accorder par défaut des accès, mais les limiter strictement au nécessaire, en fonction de chaque individu et de son usage.

Ce n’est pas seulement une question technique, c’est une réponse philosophique et politique, dictée par la nécessité de protéger le citoyen. Ne mettons pas les individus en situation de vulnérabilité en leur donnant des accès qu’ils n’ont pas les moyens de sécuriser eux-mêmes. Ce principe s’applique aussi bien à la gestion des équipements numériques des étudiants qu’à la protection des données des patients ou des personnes dépendantes. Pour répondre à cet impératif, l’Etat et les collectivités doivent s’appuyer sur une sécurisation intelligente et proactive, portée par le Zero Trust.

Cybersécurité et souveraineté : repenser l’approche face aux défis modernes

Le recours au SaaS en matière de cybersécurité suscite encore des interrogations dans le secteur public, notamment par souci de maîtrise et de souveraineté.
Plusieurs points doivent être soulignés. Les solutions Zero Trust ne remplacent pas les infrastructures critiques, mais les protègent en créant des cloud bastions indépendants, imperceptibles pour les attaquants – bastions qui peuvent être coupés à tout moment par l’administration, sans impact sur le reste du système.

Dans un contexte où la simplification des processus et la réduction des coûts sont primordiales, Zscaler et l’approche Zero Trust apportent une réponse claire : il ne s'agit pas d'ajouter une couche de sécurité supplémentaire, mais de supprimer une part du legacy pour instaurer une transformation qui rationalise les coûts, simplifie les opérations et garantit une sécurisation maximale. Un acteur comme Zscaler, avec des offres conformes au RGPD et s’appuyant sur des clouds souverains, garantit également une absence de conservation des données. Il s’agit donc d’une réponse pragmatique aux enjeux de sécurité : maîtriser son infrastructure ne signifie pas se replier sur soi-même, mais s’assurer que chaque composant est sécurisé et sous contrôle, tout en répondant aux impératifs de modernisation et d’efficacité.

Sur le même thème

Partenaires