> Enjeux IT > Que signifie le Zero Trust pour les MSP ?

Que signifie le Zero Trust pour les MSP ?

Enjeux IT - Par Sabine Terrey - Publié le 09 août 2022
email

Le Zero Trust est parfois présenté comme un moyen d’empêcher les choses de se produire, par exemple en bloquant les utilisateurs non-autorisés. Ce n’est pas le cas. Un intérêt caché du Zero Trust est qu’il offre la possibilité d’améliorer la gestion des ressources réseau des utilisateurs et des données de manière à réduire les coûts et à faciliter l'adoption des technologies.

Que signifie le Zero Trust pour les MSP ?

François Amigorena, fondateur et PDG d’IS Decisions, partage son expertise sur le sujet.

C’est particulièrement important dans le secteur des PME, où la surcharge technologique et les dépenses sont un réel problème. En ce sens, le Zero Trust reflète ce qui pousse de plus en plus d’entreprises à utiliser des services managés (MSP) : il simplifie la vie et la rend plus prévisible sur le plan financier.

Qu’est-ce que le Zero Trust ?

L’ascension du Zero Trust peut paraître surprenante, mais le terme lui-même existe depuis plus d’une décennie. D’autres technologies qui y sont associées comme la gestion des identités, le contrôle des accès, l’authentification, ne sont également pas nouvelles.

Ce qui a changé pour les clients, c’est l’urgence de le mettre en pratique et les raisons qui les poussent à le faire.

Expliquer le Zero Trust avec des termes généraux est à tort facile. Les réseaux utilisant le modèle traditionnel de sécurité du périmètre sont basés sur l’idée d’un haut niveau de confiance. Tout ce que le périphérique, l’utilisation ou l’application doit faire, c’est de présenter un justificatif d’identité, comme un nom et un mot de passe, pour accéder aux nombreuses ressources du réseau jusqu’à ce qu’ils se déconnectent.

Comme NIST le dit clairement, le Zero Trust bouleverse la confiance. Tout ce qui se connecte au même réseau est automatiquement suspect. Le « suspect » doit alors utiliser des niveaux d’authentification supplémentaires au-delà du mot de passe pour prouver son identité, après quoi ses privilèges restent étroitement contrôlés. Même après cela, on ne lui fera jamais totalement confiance parce qu’on suppose toujours qu’il peut devenir malveillant à chaque instant.

Le Zero Trust s’apparente à une paranoïa éclairée, une vigilance qui, selon ses auteurs, est désormais nécessaire pour faire face au caractère inévitable de la compromission. La contrepartie est qu’une organisation qui réussit à mettre en œuvre le zéro trust subira moins de compromissions, et celles qui se produiront seront moins graves. Ainsi, toute stratégie de cybersécurité fondée sur le zéro trust sera plus facile à justifier auprès des employés, des actionnaires, des régulateurs et des clients.

Le challenge de la mise en œuvre

Malheureusement, c’est justement ce qui rend le Zero Trust si convaincant (il s’agit d’un ensemble de principes plus qu’un produit), qui le rend difficile pour les entreprises d’expertises et de services telles que les MSP (Manager Service Provider). Le Zero Trust décrit ce qui doit être fait mais pas exactement comment cela doit être fait. Ce qui est considéré comme du Zero Trust dépend du réseau, de l’application et des utilisateurs en question, ce qui varie selon le contexte et l’entreprise. Sa mise en œuvre présente de nombreux défis.

Le danger est que quelque chose d’aussi abstrait soit mal compris par le client ou considéré comme un stratagème de vente d’une manière qui suscite le scepticisme. Cela serait une tragédie, parce que, s’il est correctement compris et implémenté, le Zero Trust a beaucoup à offrir aux entreprises de toutes tailles, plus particulièrement aux PME qui ont décidé d’investir dans des services tiers afin de résoudre leurs problèmes de sécurité.

Comment, alors, les MSP doivent communiquer la valeur du Zero Trust à leurs clients et prospects ?

François Amigorena

Comprendre les motivations des clients

La montée du Zero Trust s’explique par de nombreux facteurs, dont le plus important est tout simplement l’effondrement de la confiance dans les technologies de sécurité traditionnelles, dont beaucoup (pare-feu, antivirus, contrôle des accès par mots de passe) datent d’une époque passée et moins contraignante.

Ce sentiment s’est renforcé avec la récente augmentation du travail à distance, qui a mis en évidence les limitations du périmètre de sécurité. Les entreprises ont été forcées de s’en remettre à la sécurité des points d’accès et des VPN, appliquant l’authentification dès que possible. Avec les restrictions budgétaires, les angles morts se sont multipliés, notamment pour les services cloud qui ne transitent pas par le centre de données de l’entreprise, ce qui a placé la question de la visibilité et de la confiance au premier plan.

Les clients sont également influencés par les contrats de cyberassurance qui exigent maintenant de meilleures garanties et des tests externes, et veulent minimiser les risques mesurés par rapport aux normes de cybersécurité de l’industrie telles que le NIST. La multiplication des cyberattaques rendant le coût des assurances plus élevé que jamais, les clients sont de plus en plus motivés par tout ce qui peut réduire leurs primes.

Le Zero Trust offre des avantages compétitifs

Aujourd’hui les cyberattaques peuvent avoir des conséquences graves, dont certaines auraient été considérées comme inhabituelles il y a encore quelques années. La perception du risque de cybersécurité s’en est trouvée modifiée, ce qui a donné naissance à des dispositifs permettant aux entreprises d’appréhender leur investissement à long terme dans ce domaine. Des idées telles que le Zero Trust ne sont pas simplement considérées comme une bonne pratique ou un « bienfait », mais comme un élément essentiel de l’activité.

De plus en plus, les entreprises comprennent qu’une stratégie de cybersécurité cohérente, élaborée grâce à des partenariats avec des fournisseurs de services, leur donne un avantage concurrentiel sur le marché par rapport aux organisations rivales qui sont à la traîne. Cela va bien au-delà des idées reçues sur la conformité et la régulation, qui opèrent sur des échelles de temps plus longues. Dans certains cas, la cybersécurité pourrait même être aujourd’hui une question de survie.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Le Zero Trust, une solution idéale

Le Zero Trust dépend de la possibilité de tout voir. Pas seulement l’état de sécurité du système, mais aussi celui des utilisateurs et des données. Et il est impératif de connaitre à chaque instant le statut de ces différents éléments, ce qui pose déjà problème dans une période où l’informatique clandestine et les utilisations anormales du cloud sont difficiles à surveiller.

Le Zero Trust suppose que :

  • Toutes les activités doivent être enregistrées, le plus loin possible dans le temps afin de permettre une analyse forensique (investigation numérique) de qualité.
  • L’accès aux données doit être strictement contrôlé au niveau des fichiers ainsi que des utilisateurs qui accèdent à ces ressources.
  • Chaque outil doit être sécurisé, pas seulement les ordinateurs et serveurs, mais aussi ceux qui n’exécutent pas d’agents de sécurité, comme les systèmes de contrôle industriel et IoT.
  • Chaque modification de donnée ou de système doit être notifiée en temps réel.
  • La gestion des utilisateurs doit mettre en œuvre le Zero Trust de manière à permettre des contrôles circonstanciels en plus de l’authentification multifacteur et de l’authentification unique.
  • La mise en œuvre du Zero trust doit offrir une granularité, par exemple des restrictions contextuelles comme la durée, l’emplacement, l’adresse IP, le service, le type de session, ou de machine.

L’avantage du Zero Trust pour les MSP

Le Zero Trust a déjà une influence majeure sur le type de produits et de services achetés par les clients. Mais la phase de mise en œuvre va prendre des années, ce qui implique un potentiel de vente à long terme et la possibilité de développer une relation plus forte avec le client au fil du temps.

C’est d’autant plus vrai pour le secteur des PME, pour lequel les services gérés sont naturellement adaptés. De plus en plus, les MSP doivent se pencher sur la manière dont leurs services s’inscrivent dans le cadre d’une cybersécurité Zero Trust. L’avantage du Zero Trust pour les MSP est qu’il implique une relation à long terme avec les clients qui va au-delà du cycle de vente traditionnel dans lequel les MSP sont contactés après que quelque chose ait mal tourné.

 

 

Enjeux IT - Par Sabine Terrey - Publié le 09 août 2022