Zero Trust : essentiel dès la conception des infrastructures et du numérique des entreprises

Nicolas Groh, Field CTO EMEA de Rubrik, partage son expertise sur le sujet du Zero Trust.

Avec la recrudescence et l’accélération de cyberattaques auxquelles les entreprises sont confrontées actuellement, la cybersécurité est aujourd’hui devenue bien plus qu’un ensemble de principes ou d’outils – L’importance du facteur humain a aujourd’hui un rôle de premier plan.

En effet, les utilisateurs contribuent directement à la sécurité des entreprises en s’assurant de se conformer à une authentification multi-facteur, en utilisant des mots de passe forts, en s’assurant de ne pas installer des logiciels non approuvés sur leurs appareils et en sonnant l’alerte le plus rapidement possible en cas de phishing. Bien que toutes ces étapes soient incontournables, elles ne suffisent pas pour protéger efficacement une entreprise d’attaques externes. La sécurité ne peut plus être simplement un ensemble de bonnes pratiques. Elle se doit d’être la responsabilité de tous au sein d’une même organisation. À ce sujet, la directrice de la CISA, l’Agence Américaine pour la cybersécurité et la sécurité des infrastructures (l’équivalent de notre ANSSI), Jen Easterly, exhorte l’industrie technologique à intégrer la sécurité dans ses produits dès les phases de conception et de développement.

Les cybercriminels peuvent faire des ravages et les organisations dans les secteurs les plus vulnérables, ne peuvent pas se permettre de perdre l’accès à leurs systèmes. Aujourd’hui, ils mènent des attaques plus fréquentes par ransomware en recrutant des collaborateurs et même en proposant des ransomwares en tant que service (RaaS). Bien qu’une entreprise puisse prendre des mesures importantes pour assurer la sécurité de ses employés et celle de son organisation, une infrastructure plus solide est tout simplement mieux équipée pour résister aux cyberattaques si elle est conçue dès le départ sur les fondements d’une approche Zero Trust.

La question du DevSecOps doit également sérieusement se poser avec les équipes chargées du développement. Il faut vraiment injecter dans le cycle de développement un volet sécurité et ce n’est pas seulement une réponse technique, mais bien organisationnelle. Cela va effectivement ralentir le cycle de développement, mais pour la bonne cause. Avec le DevSecOps, il est possible d’enrichir le processus de développement dès le début et d’assurer une protection bien plus élevée des applications. L’enjeu est ainsi d’analyser le code le plus tôt possible pour être sûr de ne pas diffuser de vulnérabilité et minimiser le risque.