ZERO TRUST, le « BIO » de la Cyber-sécurité ?

Depuis quelques mois, et certainement ces jours-ci, lors des Assises de la sécurité 2019 (#AssisesSI), le concept #ZEROTRUST est à l’honneur, ce qui à mon sens est une très bonne chose.

En effet, cette « philosophie » (ni une technologie ni une norme) pourrait permettre d’adresser de facto de nombreux biais de nos infrastructures actuelles, sans besoin de révolution profonde des architectures et sans effet "big bang" (Une littérature abondante est disponible sur le sujet).

Mais ATTENTION, car les si initiatives se multiplient au gré des acteurs (Forrester, Google, Gartner, Cloud Security Alliance, etc…) et parmi les fournisseurs de technologies, "Zéro Trust" de doit pas devenir un « LABEL » de garantie de quoi que ce soit.

C’est juste :

• une approche différente qui vise à passer du modèle « TRUST BUT VERIFY » dans lequel nous évoluons depuis trop longtemps, vers le « NEVER TRUST, VERIFY ALL »,
• dont l’esprit est de considérer comme hostile toute connexion, fichier, appareil, utilisateur, etc… avant d'avoir le sentiment maximal de son innocuité.
• Et ceci avant d’ouvrir des accès basés sur le droit d’en connaître, limités à la couche 7 du modèle ISO.

Il est donc fondamental de bien comprendre le concept dans son ensemble, d’en évaluer les bénéfices (Think Big, Start Small), avant de se lancer dans le projet sur la base de solutions « estampillées» Zéro Trust, parce que c'est... à la mode.

Il est très important de préciser que ce concept est plus ancien que ce que l’on ne peut constater. C’est au sein du Jericho Forum, thinktank essentiellement actif entre 2003 et 2007 (quand même !), puis intégré à « The Open Group », que de brillants esprits ont formalisé la de-périmètrisation de nos infrastructures, bien avant que la transformation numérique ne nous y conduise.

Vous pourrez d'ailleurs retouver les 11 commandements du Jericho forum, en cliquant là :

Et pour mieux comprendre la vision ZERO TRUST avec #SYMANTEC, c'est ici :