Les enjeux autour de la sécurité numérique n’ont jamais été aussi forts. Ce n’est d’ailleurs pas sans raison que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a bénéficié d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. Certes, des fonds sont alloués à cette question essentielle, mais il conviendrait de s’interroger sur les schémas à appliquer pour que cet investissement soit véritablement efficace. À ce titre, le Zero Trust semble s’imposer comme un modèle à déployer pour tous les aspects éminemment stratégiques qu’il induits.
Aujourd’hui la cybersécurité n’est plus un sujet exclusivement réservé à une petite sphère d’érudits de l’informatique ou des personnes sortant du MIT. De fait, il est constaté qu’il intéresse de plus en plus de monde et qu’il s’agit d’une question prioritaire pour une majorité d'individus, d'entreprises et d'institutions. Le Zero Trust, par son principe même « ne jamais faire confiance, toujours vérifier », paraît être l’une des réponses à ce besoin de sécurité augmentée qui vise aussi bien les entreprises que les individus. Par voie de conséquence, les services publics ne sont pas exclus et sont même directement concernés par la démarche.
Une sécurité renforcée adaptée aux problématiques actuelles
D’une part, le modèle Zero Trust est comme un agent de sécurité qui vérifie méthodiquement les identifiants d’un individu pour lui permettre d’accéder à son bureau, même s’il le reconnaît et à chaque nouvelle action de sa part. Il repose donc sur l’authentification et l’autorisation systématiques de chaque utilisateur et de son appareil, consistant ainsi à réduire tout risque d’accès ou de transfert de données sur un réseau privé. Cette approche, qui rend celle du “château fort” obsolète (toute personne extérieure au réseau ou hors du château est nuisible, alors que toute personne à l'intérieur est légitime), est radicale, mais est en phase avec les dangers actuels qui ont pu émerger avec le télétravail et l’essor du cloud. Elle bloque les accès inappropriés et déplacements latéraux au sein d’un environnement, et par le chiffrement de l’information édifie des cloisons de plus en plus fortes.
D’autre part, au-delà de diminuer les risques de violation de données, l'architecture Zero Trust permet de segmenter de manière chirurgicale les droits et par conséquent de créer des périmètres autour de certaines données sensibles pour avoir une meilleure visibilité sur celles qui sont réglementées et celles qui ne le sont pas. Elle offre ainsi la possibilité de les sécuriser en tout lieu, que ce soit dans un data center ou dans des environnements hybrides. En somme, le Zero Trust a pour principale mission de déjouer les menaces courantes par une micro-segmentation qui implique une mutation des frontières : tout se résume à des applications et des utilisateurs qui doivent montrer patte blanche pour pouvoir obtenir leur droit d’accès.
Le Zero Trust accompagne la conduite du changement
“Le Zero Trust est un état d’esprit, quasiment une philosophie.”* Pour être implémenté avec succès et moins coûteux, ce modèle doit être pensé en amont et faire partie intégrante de la réflexion structurelle d’une organisation. Il nécessite une démarche de transformation profonde qui va englober plusieurs domaines : infrastructure, réseau, sécurité, applicatifs, cloud… et des prérequis (méthodes d’authentification robustes, contrôle des utilisateurs de l’environnement et du trafic…).
“Le concept du Zero Trust n’entre pas en contradiction avec les principes conventionnels de la sécurité numérique. Ce qui change, c’est le fait qu’ils s’appliquent à tous les systèmes.”* Il oblige à se poser les bonnes questions pour préparer l’avenir et faire face aux enjeux de demain. Quelles bases pour les futurs réseaux ? Comment faire évoluer les dispositifs et quelles sont les changements à envisager avec la biométrie qui va progressivement se développer ? Avec la migration des applications dans le cloud et l’utilisation des applications SaaS, comment gérer la bascule vers le tout Internet ?
Si le Zero Trust peut sembler contraignant, le processus conduit à une gestion dynamique en temps réel des accès et des identités. Il fournira aussi à l’équipe de sécurité une vue d’ensemble du périmètre de vulnérabilité qui servira à améliorer l'expérience des utilisateurs. À l’heure d’un numérique dominant et de son expansion inévitable, force est de constater que les services publics ont presque le devoir de se l’approprier pour se prémunir contre d’éventuelles attaques et rassurer la population.
* Source : Cigref 2022 - Vers Une philosophie Zero Trust
Edouard Camoin, VP Résilience, Outscale, edouard.camoin@outscale.com
LE CLUB DES ACTEURS DE LA PERFORMANCE PUBLIQUE
3DS OUTSCALE, pionnier français du cloud computing, s'engage à accompagner l'autonomie stratégique numérique de la France et de l'Europe en apportant un Cloud de Confiance industriel et reconnu permettant aux organisations publiques et parapubliques de s'appuyer sur la seule infrastructure cloud qualifiée à la fois SecNumCloud par l'ANSSI, Hébergement de Données de Santé et ISO 27001-27017-27018.
3DS OUTSCALE accompagne ainsi la transformation numérique du secteur public grâce à un Cloud unique : le Cloud d'hyper-confiance.
À la fois acteur de la transparence et souverain, 3DS OUTSCALE est une entité de droit français opérant le traitement des données sur le territoire français.
3 min
Le modèle Zero Trust et les services publics : un investissement sur l’avenir
Edouard Camoin, VP Resilience chez 3DS OUTSCALE et expert ENISA, relève les avancées portées par la démarche Zero Trust, « un état d’esprit et quasiment une philosophie ».
Articles associés
Club des acteurs publics
ÉTAT | COLLECTIVITÉS | HÔPITAL
L’essentiel du management public
FORMULE INTÉGRALE
1200€ / an