Hervé Thibault (Chief Strategy Officer) vous explique pourquoi dans cette interview.
Considéré aujourd’hui comme l’approche idéale pour protéger les entreprises face à la menace cyber, le Zéro Trust n’est cependant pas encore suffisamment adopté par les entreprises de taille moyenne ou intermédiaire, pour qui cette méthode s’adapte plus aux environnements informatiques de plus grande taille, comme ceux des grands groupes. Mais, qu’en est-il vraiment ? Est-il juste, pour un dirigeant ou un responsable informatique de PME, de penser que le Zéro Trust ne s’adresse qu’aux entreprises du CAC 40 ?
Dans cet article, sous forme d’interview, nous avons choisi de démystifier le Zéro Trust afin de mettre en lumière les avantages de cette méthodologie auprès des dirigeants de PME dans le cadre de leur stratégie cybersécurité, car non, le Zéro Trust n’est pas destiné qu’aux multinationales !
Spécialiste du Zéro Trust au sein de Metsys, Hervé Thibault accompagne les entreprises dans leurs projets d’adoption de cette approche et partage avec vous son expérience et sa vision du Zéro Trust pour les PME.
Plébiscité par nombre de professionnels de cybersécurité, ce modèle semble cependant peiner à être adopté dans les petites et moyennes entreprises. Selon vous, quelles en sont les raisons ?
En effet, le Zéro Trust a le vent en poupe dans les entreprises (et surtout chez les vendeurs de solutions de cybersécurité), ce qui est assez logique, car cette approche répond à l’évolution des méthodes d’attaques des cyberpirates, et à celle des environnements informatiques des entreprises. Assurément, l’approche Zéro Trust est plus populaire au sein des grandes entreprises que chez les PME. Il peut y avoir des raisons de méconnaissance de la part des responsables informatiques, mais également le sentiment de ne pas être concerné (encore) par le problème des cyberattaques et/ou estimer que ce type de technologies n’est pas adapté à leur environnement. Dans tous les cas, il me semble qu’il est important qu’ils connaissent les avantages du Zéro Trust pour leur organisation.
Pourriez-vous nous rappeler ce qu’est le Zéro Trust ?
Le Zéro Trust s’appuie sur trois principes : systématiser le moindre privilège, ne jamais faire confiance et toujours vérifier. Ce qui signifie qu’aucun utilisateur, application ou matériel doit être considéré comme fiable, impliquant ainsi la vérification (par un ou plusieurs facteurs) de l’identité et du contexte de connexion (emplacement, par exemple).
Longtemps, la cybersécurité se concentrait sur le terminal via les antivirus, ce qui répondait à la situation : les cyberattaquants avaient pour mode opératoire la diffusion de virus pour attaquer leurs cibles, par ailleurs les lieux de connexions étaient assez limités. Aujourd’hui, les modes de travail ont changé et les technologies nous permettent de nous connecter à partir de n’importe quel terminal, ce qui implique également une évolution dans les scénarios d’attaques des pirates. Les portes d’accès à l’entreprise ont été multipliées, se défendre uniquement avec un pare-feu et des antivirus ne suffit plus. Proche d’un recueil de bonnes pratiques, le Zéro Trust est un excellent support pour s’assurer d’une bonne posture cybersécurité.
Pour beaucoup de responsables informatiques, le Zéro Trust reste un chantier conséquent, non ?
Oui, si l’on prend le Zéro Trust dans son ensemble et que l’on souhaite mener tous les sujets de front. Mais, bien appréhendé et réfléchi, cela reste un projet très réalisable, dans la mesure où l’on se fait bien accompagner.
Dans mes présentations Zéro Trust, je prends souvent l’image de l’Everest : commencer une démarche Zéro Trust c’est un peu comme gravir cette montagne mythique. On est en bas et en regardant le sommet, on se dit « waouh, on ne va jamais y arriver ! », surtout si l’on est seul et que l’on souhaite gravir ce monstre en une journée ! Il est indispensable de se faire aider par un prestataire, dont la mission sera d’orchestrer et de structurer le projet pour faciliter son déploiement.
Chez Metsys, nous appliquons la stratégie des petits pas : nous proposons un chemin pour qu’au fur et à mesure, sur des éléments précis, nous parvenons à atteindre le sommet Zéro Trust. Des objectifs réalisables et atteignables, une étape après l’autre. Donc oui, c’est un gros chantier mais, grâce à un bon accompagnement, celui-ci peut s’avérer plus facile à mettre en œuvre.
Comment aidez-vous cette typologie d’entreprises dans leur projet Zéro Trust ?
Tout d’abord, j’aimerais tordre une idée reçue concernant les PME et leur capacité à mettre en œuvre des chantiers tels que le Zéro Trust. En effet, il est faux de penser que leur niveau de maturité est plus faible que celui des grands groupes. J’ai pu constater, lors de mes diverses missions au sein d’entreprises de taille moyenne, que ces dernières faisaient preuve de bien plus d’agilité et de flexibilité dans leurs prises de décision que certaines très grandes entreprises, où les échelons de validation sont parfois nombreux, induisant des délais sur la prise de certaines décisions ou orientations structurantes.
Ce qui est compliqué pour les PME est de prendre conscience des impacts de la cybermenace sur leur activité. Pensant qu’elles sont suffisamment protégées ou moins ciblées, elles peuvent avoir tendance à minimiser les risques. Pour certaines, elles en sont encore au temps des antivirus ou au mieux, aux solutions anti-malwares… Malheureusement pour elles, le danger est bien plus vaste en réalité.
C’est d’ailleurs pourquoi, dans notre démarche Zéro Trust auprès des entreprises, nous réalisons en premier lieu, un rapide examen de maturité qui permet, d’une part, d’évaluer les risques et d’autre part, de fournir à nos clients, une photo précise et claire de leur posture cybersécurité, qu’elle soit très bonne ou perfectible.
Cet examen passe au crible les assets technologiques de l’entreprise, examine pilier par pilier la situation de l’entreprise (quelle politique de gestion des identités, comment les données sont-elles stockées, …), en considérant son contexte business. Cette analyse va nous permettre d’identifier les points qui faciliteront le renforcement de la résilience de l’entreprise face à une éventuelle attaque.
À partir de cet examen, nous déterminons les objectifs que l’on souhaite atteindre (notre fameuse stratégie des petits pas) puis nous les présentons aux différentes parties prenantes. Une fois validés, nous passons à la création du chemin de transformation qui rassemble les actions que nous préconisons pour l’amélioration en continu de leur posture de défense, selon plusieurs niveaux : le « Quick Win » (rapide à implémenter, amélioration très conséquente de la posture de sécurité), le « Must Have » (plus long à implémenter et amélioration conséquente) et le « Nice To Have » (amélioration moins conséquente).
Bien évidemment, la démarche évoquée s’adapte au contexte des PME, on ne se projette pas dans des opérations sur plusieurs mois. Dans un contexte PME, grâce à notre méthode éprouvée et à notre expertise en matière de Zéro Trust, cette première phase d’accompagnement, ainsi que la mise en place des premières actions, sont réalisées sur une période très courte, moins d’un mois en général.
Quel serait votre message aux PME ?
Même s’il a été dit et redit, mon message serait : on ne peut pas vous dire quand vous serez attaqué, toutefois on peut vous affirmer que vous le serez. N’attendez pas pour revoir votre posture cybersécurité, car une fois que l’attaque sera sur vous, il sera peut-être trop tard !
En quelques mots : Zero Trust + PME = Better together !
Pour en savoir plus sur le Zéro Trust, https://blog.metsys.fr/lapproche-zero-trust-ou-comment-renforcer-sa-posture-cybersecurite-face-a-la-recrudescence-des-attaques/
