Le modèle « Zero Trust » est un cadre de sécurité qui exige que tous les utilisateurs, qu'ils soient internes ou externes, soient continuellement authentifiés et autorisés sur le réseau d'une organisation. Il repose sur le principe qu'aucun appareil ni aucun utilisateur derrière l'appareil ne doit être considéré comme fiable.

« Ne jamais faire confiance et toujours vérifier », confirme Prashant Mascarenhas, vice-président – Services de cybersécurité et GRC chez HCLTech, lors de la conférence RSA.

Fondamentalement, le modèle Zero Trust signifie que l'identité des utilisateurs est toujours vérifiée et authentifiée à chaque couche des différentes ressources d'entreprise, sans créer de friction dans l'organisation et tout en réduisant les risques.

« D'un point de vue évolutif, Zero Trust en est à un stade de contrôle de l'accès aux applications et aux données – des ressources d'entreprise critiques », explique Mascarenhas.

Avec cette évolution, le cadre gagne désormais une traction significative, Gartner prédisant que d'ici 2026, 10 % des grandes entreprises disposeront d'un programme Zero Trust mature et mesurable, contre moins de 1 % aujourd'hui.

L'accent est désormais mis sur la façon dont les organisations peuvent intégrer et mettre en œuvre un cadre Zero Trust efficace.

Intégrer un cadre Zero Trust

La première étape pour intégrer un cadre Zero Trust à l'échelle de l'entreprise consiste à établir une stratégie Zero Trust qui équilibre le travail sans friction et la réduction des risques. Selon Gartner, cela devrait être dirigé par le chef de la sécurité de l'information (CISO) et les responsables de la gestion des risques.

Il est crucial de ne pas oublier que la base de Zero Trust est l'identité. Pour garantir efficacement un accès contrôlé au réseau et désormais aux applications et aux données, Mascarenhas recommande de mettre en place « une architecture solide de gestion des accès à l'identité, qui aidera les organisations à s'éloigner des modèles d'accès traditionnels basés sur les rôles vers des modèles basés sur les attributs permettant de prendre des décisions contextuellement pertinentes ».

En même temps, il explique qu'au niveau du réseau, « les organisations devraient passer des contrôles d'accès réseau traditionnels à des accès à distance fondés sur des politiques et à des politiques basées sur le contexte de l'appareil, qui peuvent être appliquées sur le réseau en temps réel ».

Il ajoute : « Les politiques statiques peuvent être détournées, mais les politiques dynamiques, qui sont calculées à partir d'attributs issus des données télémétriques provenant du réseau et des applications, peuvent permettre un niveau de sécurité supérieur dans le but ultime de protéger les données. »

Pour décider où effectuer le premier déploiement de Zero Trust, Gartner recommande de protéger les actifs les plus critiques, car cela permettra d'obtenir le meilleur retour sur l'atténuation des risques.

Il convient de noter que Zero Trust ne constitue pas une solution miracle. C'est un élément crucial pour élaborer une stratégie de cybersécurité holistique et essentiel pour aider à réduire les risques, mais il doit être combiné à d'autres technologies et cadres de détection des menaces.

Le maillage de cybersécurité

Gartner a désigné l'avenir de l'architecture de sécurité comme le maillage de cybersécurité. Cette architecture émergente vise à consolider tous les outils de sécurité modulaires et distribués afin de réduire la complexité et d'améliorer la posture globale de cybersécurité d'une organisation.

« Le maillage de cybersécurité regroupe les technologies de sécurité individuelles et les intègre pour une politique unifiée sur l'ensemble du paysage », affirme Mascarenhas.

Dans cet environnement consolidé, Zero Trust permet aux organisations de prendre les contrôles d'accès au réseau, aux applications et aux données et de les appliquer à l'ensemble du paysage, y compris les appareils, les politiques et les outils rassemblés sous le maillage de cybersécurité.

Un partenaire de confiance

Expliquant comment HCLTech peut aider les organisations à déployer des solutions Zero Trust, Mascarenhas précise : « HCLTech est bien positionnée pour accompagner ses clients d'entreprise dans le déploiement de solutions Zero Trust. Nous avons développé des pratiques matures et disposons d'une très grande expertise en infrastructure, en cloud, en applications et dans la pratique de la sécurité des données.

« Récemment, nous avons investi pour transférer notre expertise en sécurité TI vers les environnements OT et nous avons une expérience significative en gouvernance, gestion des risques et conformité, tant du point de vue de la conformité interne sur les politiques de sécurité que pour la conformité réglementaire requise par les entreprises.

« Nous avons également une base solide pour la prestation de la gestion des accès à l'identité, qui soutient Zero Trust. »

Ultimement, une posture de sécurité robuste intégrée à la résilience dès la conception aidera les organisations à stimuler la croissance des activités en réduisant les cyberrisques.

« HCLTech continue d'investir dans ce domaine, et nous travaillons en étroite collaboration avec nos clients pour les accompagner tout au long de ce parcours », conclut Mascarenhas.