Que signifie le Zero Trust pour les MSP ?

François Amigorena, fondateur et PDG d’IS Decisions, partage son expertise sur le sujet.

C’est particulièrement important dans le secteur des PME, où la surcharge technologique et les dépenses sont un réel problème. En ce sens, le Zero Trust reflète ce qui pousse de plus en plus d’entreprises à utiliser des services managés (MSP) : il simplifie la vie et la rend plus prévisible sur le plan financier.

Qu’est-ce que le Zero Trust ?

L’ascension du Zero Trust peut paraître surprenante, mais le terme lui-même existe depuis plus d’une décennie. D’autres technologies qui y sont associées comme la gestion des identités, le contrôle des accès, l’authentification, ne sont également pas nouvelles.

Ce qui a changé pour les clients, c’est l’urgence de le mettre en pratique et les raisons qui les poussent à le faire.

Expliquer le Zero Trust avec des termes généraux est à tort facile. Les réseaux utilisant le modèle traditionnel de sécurité du périmètre sont basés sur l’idée d’un haut niveau de confiance. Tout ce que le périphérique, l’utilisation ou l’application doit faire, c’est de présenter un justificatif d’identité, comme un nom et un mot de passe, pour accéder aux nombreuses ressources du réseau jusqu’à ce qu’ils se déconnectent.

Comme NIST le dit clairement, le Zero Trust bouleverse la confiance. Tout ce qui se connecte au même réseau est automatiquement suspect. Le « suspect » doit alors utiliser des niveaux d’authentification supplémentaires au-delà du mot de passe pour prouver son identité, après quoi ses privilèges restent étroitement contrôlés. Même après cela, on ne lui fera jamais totalement confiance parce qu’on suppose toujours qu’il peut devenir malveillant à chaque instant.

Le Zero Trust s’apparente à une paranoïa éclairée, une vigilance qui, selon ses auteurs, est désormais nécessaire pour faire face au caractère inévitable de la compromission. La contrepartie est qu’une organisation qui réussit à mettre en œuvre le zéro trust subira moins de compromissions, et celles qui se produiront seront moins graves. Ainsi, toute stratégie de cybersécurité fondée sur le zéro trust sera plus facile à justifier auprès des employés, des actionnaires, des régulateurs et des clients.

Le challenge de la mise en œuvre

Malheureusement, c’est justement ce qui rend le Zero Trust si convaincant (il s’agit d’un ensemble de principes plus qu’un produit), qui le rend difficile pour les entreprises d’expertises et de services telles que les MSP (Manager Service Provider). Le Zero Trust décrit ce qui doit être fait mais pas exactement comment cela doit être fait. Ce qui est considéré comme du Zero Trust dépend du réseau, de l’application et des utilisateurs en question, ce qui varie selon le contexte et l’entreprise. Sa mise en œuvre présente de nombreux défis.

Le danger est que quelque chose d’aussi abstrait soit mal compris par le client ou considéré comme un stratagème de vente d’une manière qui suscite le scepticisme. Cela serait une tragédie, parce que, s’il est correctement compris et implémenté, le Zero Trust a beaucoup à offrir aux entreprises de toutes tailles, plus particulièrement aux PME qui ont décidé d’investir dans des services tiers afin de résoudre leurs problèmes de sécurité.

Comment, alors, les MSP doivent communiquer la valeur du Zero Trust à leurs clients et prospects ?

Comprendre les motivations des clients

La montée du Zero Trust s’explique par de nombreux facteurs, dont le plus important est tout simplement l’effondrement de la confiance dans les technologies de sécurité traditionnelles, dont beaucoup (pare-feu, antivirus, contrôle des accès par mots de passe) datent d’une époque passée et moins contraignante.

Ce sentiment s’est renforcé avec la récente augmentation du travail à distance, qui a mis en évidence les limitations du périmètre de sécurité. Les entreprises ont été forcées de s’en remettre à la sécurité des points d’accès et des VPN, appliquant l’authentification dès que possible. Avec les restrictions budgétaires, les angles morts se sont multipliés, notamment pour les services cloud qui ne transitent pas par le centre de données de l’entreprise, ce qui a placé la question de la visibilité et de la confiance au premier plan.

Les clients sont également influencés par les contrats de cyberassurance qui exigent maintenant de meilleures garanties et des tests externes, et veulent minimiser les risques mesurés par rapport aux normes de cybersécurité de l’industrie telles que le NIST. La multiplication des cyberattaques rendant le coût des assurances plus élevé que jamais, les clients sont de plus en plus motivés par tout ce qui peut réduire leurs primes.

Le Zero Trust offre des avantages compétitifs

Aujourd’hui les cyberattaques peuvent avoir des conséquences graves, dont certaines auraient été considérées comme inhabituelles il y a encore quelques années. La perception du risque de cybersécurité s’en est trouvée modifiée, ce qui a donné naissance à des dispositifs permettant aux entreprises d’appréhender leur investissement à long terme dans ce domaine. Des idées telles que le Zero Trust ne sont pas simplement considérées comme une bonne pratique ou un « bienfait », mais comme un élément essentiel de l’activité.

De plus en plus, les entreprises comprennent qu’une stratégie de cybersécurité cohérente, élaborée grâce à des partenariats avec des fournisseurs de services, leur donne un avantage concurrentiel sur le marché par rapport aux organisations rivales qui sont à la traîne. Cela va bien au-delà des idées reçues sur la conformité et la régulation, qui opèrent sur des échelles de temps plus longues. Dans certains cas, la cybersécurité pourrait même être aujourd’hui une question de survie.