Accélérez votre parcours confiance zéro avec votre pile technologique existante

05 juin 2025

Un guide stratégique à l’intention des CSI

À une époque de cybermenaces et de transformation numérique incessantes, les modèles de sécurité périmétrique traditionnels ne suffisent plus à la tâche. Le modèle de confiance zéro aide à protéger votre entreprise en réduisant les risques, en soutenant la conformité et en favorisant l’intégration des innovations en toute sécurité. Plus qu’un modèle de sécurité, la confiance zéro est un investissement intelligent dans la résilience future de votre organisation.

La confiance zéro repose sur un changement d’état d’esprit fondamental. Au lieu de s’appuyer sur des défenses de type périmétrique ou sur le principe de confiance implicite, les chefs de la sécurité de l’information (CSI) doivent s’assurer que leur organisation traite chaque demande d’accès comme étant non fiable jusqu’à preuve du contraire. Cela inclut les demandes d’accès externes et internes, y compris celles des employés.

Cependant, avant d’investir dans des outils supplémentaires ou d’adopter de nouvelles politiques, les CSI doivent déterminer les critères de réussite de leur organisation en matière de confiance zéro. L’établissement d’objectifs mesurables permet à toutes les parties prenantes de suivre les progrès, d’ajuster les plans et d’atteindre les jalons établis. Les principaux objectifs doivent inclure les cibles de sécurité, les résultats d’affaires et les exigences de conformité.

Précisons d’emblée que la première étape du parcours de confiance zéro n’est pas l’achat d’une nouvelle technologie. Il faut plutôt commencer par évaluer l’environnement actuel pour déterminer si les capacités existantes sont adaptées aux principes de la confiance zéro et planifier, le cas échéant, la modernisation des systèmes existants. De nombreuses organisations piétinent dans leur démarche de confiance zéro parce qu’elles pensent que cela nécessite une refonte complète de la technologie ou de nouveaux investissements coûteux. Cette idée fausse entraîne souvent des retards et une sous-utilisation des ressources.

Sans attendre une transformation massive, on peut accomplir des progrès importants en utilisant de façon stratégique les outils de base existants. En effet, les piles de la plupart des organisations comportent déjà de nombreuses capacités de confiance zéro.

Bâtir un modèle de sécurité dynamique et adaptable en fonction du risque

La mise en œuvre d’un modèle de confiance zéro n’est pas un projet ponctuel. Il s’agit d’un parcours de maturation dans plusieurs domaines, progressant chacun au fil du temps sur le plan de la visibilité, de l’intelligence et de l’automatisation. Au fur et à mesure que le modèle évolue, la connaissance contextuelle des identités des utilisateurs s’approfondit. Au lieu de suivre des règles statiques, le système vérifie en permanence qui demande l’accès, quel appareil est utilisé, quand l’accès a lieu, où se trouve l’utilisateur et comment celui-ci se comporte. Cette progression permet de bâtir un modèle de sécurité dynamique, qui s’adapte en fonction du risque.

Si tel est l’objectif, par où votre organisation doit-elle commencer et que doit-elle faire pour se préparer efficacement en fonction de sa situation actuelle? Nous présentons ici un processus en huit étapes qui devrait vous aider à évaluer la maturité de votre organisation en matière de confiance zéro et à élaborer une feuille de route stratégique adaptée à vos risques, à vos actifs et à votre contexte opérationnel.

Maturité du modèle de confiance zéro

	GIA	Réseau	Appareils	Données	Applications	Automatisation et orchestration	Visibilité et analytique
État traditionnel			✓	✓		✓	✓
État initial	✓				✓
État avancé		✓
État optimal
Gouvernance

^{Un exemple de la façon dont un CSI pourrait utiliser le cadre pour organiser la maturité autour des sept piliers.}

Le parcours vers la confiance zéro peut sembler très ardu, et de nombreuses organisations ne savent pas par où commencer. C’est pourquoi il est essentiel d’évaluer votre niveau de maturité actuel.

Les grandes organisations utilisent des cadres tels que celui de la Cybersecurity and Infrastructure Security Agency (CISA), qui organise le modèle de la maturité en sept piliers : identité, appareils, réseaux, applications/charges de travail, données, visibilité et analytique et automatisation et orchestration. Chaque pilier est évalué selon quatre niveaux de maturité : traditionnel, initial, avancé et optimal. Ce système aide les CSI à mieux comprendre l’état actuel de leur organisation.

Vous ne pouvez pas protéger ce dont vous ignorez l’existence. La première étape consiste à déterminer ce que votre organisation doit protéger, c’est-à-dire vos actifs numériques les plus importants. Ceux-ci comprennent habituellement l’information nominative, la propriété intellectuelle, les données financières, les dossiers des clients, les systèmes d’infrastructures essentielles et les codes ou algorithmes propriétaires.

Les organisations doivent commencer par demander aux responsables des services, notamment des TI, de dresser un inventaire des données critiques, de leur emplacement et de leur sensibilité. L’objectif est de savoir qui est propriétaire des données, où celles-ci sont hébergées (dans le nuage, sur site ou sous forme de logiciel en tant que service [SaaS]), comment on y accède et ce qui se passerait en cas de fuite ou d’altération. Cet exercice jette les bases d’une stratégie de confiance zéro alignée sur les risques.

Une fois vos actifs numériques les plus importants clairement définis, l’étape suivante consiste à cartographier l’empreinte liée à leurs données, y compris au stockage, à la transmission et aux points d’accès. Où vos données sont-elles stockées? Comment sont-elles transférées d’un système à l’autre? Qui y accède et au moyen de quelles applications, de quels appareils et de quels réseaux?

La cartographie de l’empreinte peut s’effectuer en utilisant un diagramme de flux de données illustrant le mouvement des données sensibles dans votre écosystème. Quelle que soit la méthode utilisée, l’objectif est de découvrir l’informatique de l’ombre, les terminaux non gérés et les applications non autorisées qui posent des risques cachés.

Le modèle de confiance zéro dépend du contexte. Il est essentiel de comprendre comment vos utilisateurs interagissent avec les actifs les plus importants pour concevoir des contrôles appropriés. Les schémas les plus courants sont les suivants : utilisateurs privilégiés accédant à distance aux environnements de production, développeurs travaillant à partir d’appareils non gérés et téléversant un code dans un dépôt Git, et fournisseurs tiers se connectant à des systèmes internes via un réseau privé virtuel (VPN).

Une fois que vous avez bien compris les cas d’utilisation des accès de votre organisation, définissez le risque associé à chaque scénario et mettez en œuvre des contrôles sur mesure pour sélectionner le niveau de protection adapté à chaque risque.

À présent que le niveau de maturité de votre organisation est bien cerné, vous pouvez élaborer une feuille de route alignée sur les objectifs de votre organisation. Une feuille de route type comprend les phases suivantes : fondation, visibilité et contrôle et protection en profondeur.

Lors de la phase relative à la fondation, les organisations comprennent les capacités existantes en ce qui a trait à l’identité, aux données, au réseau, aux applications et aux appareils; elles remplacent les anciens VPN par un accès réseau confiance zéro (ZTNA); elles appliquent l’authentification multifactorielle à tous les points d’accès; et elles commencent à utiliser la segmentation basée sur l’identité.

Dans la phase relative à la visibilité et au contrôle, les organisations déploient des passerelles Web sécurisées pour le contrôle du trafic sortant, mettent en œuvre un courtier en sécurité d’accès au nuage (CASB) pour la découverte du SaaS et de l’informatique de l’ombre, et commencent à étiqueter et à classer les données sensibles.

Dans la phase relative à la protection en profondeur, les organisations appliquent le principe de privilège minimal en utilisant l’accès basé sur les rôles et les autorisations juste à temps, mettent en œuvre la microsegmentation pour isoler les charges de travail et empêcher les mouvements latéraux, et surveillent les menaces d’initiés en analysant les comportements.

Tout au long de votre parcours, assurez-vous que la mise en œuvre technique et l’élaboration des politiques restent ancrées dans les principes fondamentaux de la confiance zéro. Les équipes ont souvent tendance à se concentrer sur les outils, mais le succès commence par un changement d’état d’esprit, pour faire en sorte que la confiance ne soit jamais accordée par défaut à un utilisateur ou à un appareil, quel qu’il soit. Aidez les équipes à adopter cette attitude en les sensibilisant à l’évolution des menaces, en utilisant des exemples concrets de violations et en reliant les pratiques de confiance zéro à des objectifs d’affaires tels que la résilience et la conformité.

Expliquez clairement que les atteintes à la sécurité sont inévitables, et qu’il est essentiel d’appliquer le principe de privilège minimal et d’effectuer des vérifications continues pour en réduire l’incidence. Encouragez la collaboration entre les équipes de la sécurité, des TI et de la gestion des activités pour qu’elles soient bien alignées sur les pratiques en matière de tolérance au risque et de contrôle d’accès. Mettez en place des systèmes destinés à limiter les dommages, à n’accorder l’accès que si c’est nécessaire et à ajuster les autorisations de manière dynamique et en temps réel en fonction des signaux de risque, comme l’emplacement, l’état de l’appareil et le comportement.

Pour la plupart des organisations, la mise en œuvre du modèle de confiance zéro commence par la modernisation des systèmes d’accès existants. Les applications et infrastructures plus anciennes ne prennent souvent pas en charge l’authentification, la segmentation ou la télémétrie modernes, et les entreprises doivent donc planifier dès le départ des stratégies de modernisation ou de confinement pour les systèmes existants.

Les anciens réseaux VPN font place aux réseaux de type ZTNA, qui offrent un accès sécurisé basé sur l’identité. Les passerelles Web sécurisées appliquent les politiques d’utilisation d’Internet et empêchent l’exfiltration des données. Le CASB surveille les données infonuagiques, applique des politiques de prévention de la perte de données et assure la conformité. La microsegmentation limite l’accès interne et bloque les mouvements latéraux des acteurs non autorisés. Enfin, le contrôle d’accès au réseau valide les dispositifs avant d’accorder l’accès aux ressources.

De la confiance zéro au service d’accès sécurisé en périphérie (SASE)

En adoptant le modèle de confiance zéro, votre organisation amorce son parcours vers une sécurisation globale des systèmes, en définissant qui doit avoir accès à quelles ressources et dans quelles conditions. Vous mettez en œuvre des contrôles comme la gestion des identités et des accès, l’authentification multifactorielle, les contrôles de posture des appareils et la segmentation.

Mais à ce stade, vos contrôles sont encore distribués, avec des outils différents pour les réseaux, les terminaux et le nuage.

Un besoin de convergence se fait alors sentir. Au fur et à mesure que la confiance zéro s’étend à l’ensemble de l’entreprise, la gestion de piles de sécurité et de réseaux distinctes devient de plus en plus complexe. Les équipes doivent composer avec des lacunes en matière de visibilité, des chevauchements d’outils, des incohérences au niveau des politiques et des problèmes de performance pour les utilisateurs distants.

Dans de nombreux cas, l’étape logique suivante est la mise en œuvre d’un service d’accès sécurisé en périphérie (SASE). Le SASE fait converger le réseau (comme le réseau étendu défini par logiciel [SD-WAN]) et la sécurité (comme le ZTNA, la passerelle Web sécurisée, le CASB et le pare-feu en tant que service [FWaaS]) en une seule structure de service unifiée. Cette configuration permet aux organisations d’appliquer des politiques de confiance zéro à la périphérie, près de l’utilisateur, de façon efficace et sécuritaire. Avec le SASE, la confiance zéro est intégrée dans le fonctionnement de votre réseau, au lieu d’y être apposée.

Vous souhaitez en savoir plus sur les avantages que le SASE offre aux organisations? Contactez notre équipe.

En adoptant la confiance zéro, les organisations intègrent de multiples technologies dans différents domaines : identité, appareils, données, applications, réseaux et infrastructure. Sans un modèle de gouvernance clair, les solutions peuvent devenir fragmentées, incohérentes et inextensibles.

La mise en place d’un modèle de gouvernance pour la confiance zéro permet d’aligner de façon stratégique les objectifs de l’entreprise et les investissements en matière de sécurité, tout en assurant la cohérence dans l’application des politiques au niveau des services et des plateformes, l’imputabilité en matière d’accès, la protection des données et la gestion des risques, ainsi que la durabilité des contrôles de sécurité. Pensez-y comme un système d’exploitation pour votre parcours vers la confiance zéro, permettant de faire fonctionner le tout de façon synchronisée.

Une approche de transformation numérique résiliente et sécurisée

Cette approche de la confiance zéro, axée sur le niveau de maturité, apporte clarté et dynamisme. Au lieu de poursuivre un état final abstrait, les organisations disposent d’une feuille de route structurée qui aligne les investissements en matière de sécurité sur les risques critiques et les réalités opérationnelles.

Cette stratégie aide les organisations à renforcer la confiance envers les dirigeants grâce à des progrès mesurables, à aligner les cibles de sécurité sur les objectifs d’affaires, à réduire la prolifération des outils en tirant parti des investissements existants et à améliorer le temps de réponse aux incidents en intégrant une visibilité en temps réel.

Dans votre rôle de CSI, cette approche vous positionne, non seulement comme un atténuateur de risques, mais aussi comme un facilitateur stratégique d’une transformation numérique résiliente et sécurisée.