Le modèle traditionnel de sécurité réseau, basé sur la confiance implicite, est devenu obsolète face à la complexité des environnements numériques actuels. L’approche Zéro confiance (Zero Trust) s’impose comme une solution essentielle pour les réseaux distribués et complexes utilisés par la plupart des organisations.
Pendant des années, les entreprises se sont concentrées sur la protection du périmètre de leur réseau à l’aide de pare-feu et d’autres mesures de sécurité. Les utilisateurs à l’intérieur de ce périmètre étaient considérés comme fiables (trusted) et bénéficiaient d’un accès libre aux applications, aux données et aux ressources.
La transformation numérique a effacé la notion traditionnelle de périmètre réseau. Aujourd’hui, les réseaux d’entreprise s’étendent au-delà des emplacements physiques et des segments de réseau. L’écosystème d’entreprise moderne englobe des environnements cloud, des services mobiles, des centres de données, des appareils IdO, des applications SaaS et un accès à distance pour les employés, les fournisseurs et les partenaires commerciaux.
Avec cette surface d’attaque élargie, les entreprises sont plus vulnérables aux violations de données, aux rançongiciels, aux menaces internes et aux autres types d’attaques réseau. Le périmètre réseau n’est plus une frontière clairement définie et impénétrable, et les défenses basées sur le périmètre ne peuvent pas combler toutes les lacunes. De plus, les acteurs malveillants qui accèdent au réseau peuvent exploiter la confiance implicite pour se déplacer latéralement afin de localiser et d’attaquer les ressources critiques.
En 2010, l’analyste John Kindervag de Forrester Research a introduit le concept de « Zéro confiance » comme un cadre pour protéger les ressources de l’entreprise grâce à un contrôle d’accès strict. Zéro confiance déplace l’attention du périmètre du réseau et place les contrôles de sécurité autour des ressources individuelles.
Chaque point de terminaison, utilisateur et demande de connexion est considéré comme une menace potentielle. Au lieu d’être libre d’agir une fois le périmètre franchi, l’utilisateur doit être authentifié et autorisé chaque fois qu’il se connecte à une nouvelle ressource. Cette authentification continue garantit que seuls les utilisateurs autorisés peuvent accéder aux actifs du réseau. La notion de « trusted » ou fiable, dans le modèle traditionnel, impliquait une confiance absolue envers les utilisateurs ou les appareils se trouvant sur le réseau interne. Cependant, Zéro confiance élimine ce concept de « trusted » et applique le principe « ne faites confiance à personne, vérifiez tout ».
