Zero Trust : Principes, Enjeux et Mise en Œuvre | Cyber Claire

Description

Dans cet épisode, on décortique le Modèle Zero Trust publié par l’ANSSI en juin 2025 : une approche qui remet en question un principe longtemps considéré comme acquis en cybersécurité — la confiance.

👉 Objectif du Zero Trust : ne plus faire confiance par défaut, mais vérifier chaque accès, en s’appuyant sur l’identité, le contexte et des règles de contrôle d’accès dynamiques (ABAC).

Au programme :
• Les fondamentaux du Zero Trust et ce qu’il change concrètement
• Les mécanismes clés : identité, réseau, applications, données
• Les avantages… mais aussi les risques et pièges à éviter
• Comment l’intégrer dans une stratégie de défense en profondeur
• Les recommandations ANSSI pour évaluer la faisabilité et démarrer sereinement

Un épisode clair et utile pour les pros de l’IT, de la sécu, et toute organisation souhaitant moderniser sa cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue à cette nouvelle analyse approfondie. Aujourd'hui, on plonge dans un concept omniprésent en cybersécurité, le Zero Trust. Un terme qu'on entend vraiment partout, mais bon, qu'est-ce que ça recouvre au juste ?
Speaker #1
Oui, c'est un terme un peu fourre-tout parfois.
Speaker #0
Exactement. Alors, pour y voir plus clair, on va s'appuyer sur une source solide, les fondamentaux du modèle Zero Trust publié par l'ANSI. l'Agence nationale de la sécurité des systèmes d'information. C'est un document de juin 2025. Une perspective française, officielle et experte.
Speaker #1
Tout à fait, une référence importante.
Speaker #0
Notre mission, si on peut dire, c'est de décortiquer un peu ce modèle, comprendre pourquoi il est devenu si, si pertinent, avec l'explosion du télétravail, le fameux BYOD, l'usage des appareils personnels, et puis le cloud partout.
Speaker #1
C'est clair que le paysage a changé.
Speaker #0
Et la question ? Est-ce que c'est la solution miracle qui remplace tout ? Nancy, elle, nous dit d'emblée que non.
Speaker #1
Non, elle est prudente là-dessus. C'est plutôt un complément. Indispensable, mais un complément à la défense en profondeur classique.
Speaker #0
Voilà. Alors pourquoi s'y intéresser de près ? Parce que le Zero Trust, ça change radicalement notre façon de penser la sécurité. C'est ça le point clé.
Speaker #1
C'est un changement de paradigme, oui.
Speaker #0
Fini la confiance par défaut juste parce qu'on est dans le réseau. Chaque accès Chaque requête, paf, vérification systématique.
Speaker #1
Exactement.
Speaker #0
C'est une vraie révolution philosophique presque. Prêt à explorer ça ?
Speaker #1
Allons-y.
Speaker #0
Alors pour commencer, allons au cœur du sujet. Quel est le principe fondamental de ce Zero Trust ? Confiance zéro, ça sonne quand même un peu extrême, non ?
Speaker #1
C'est vrai que le terme est fort. Mais l'idée centrale, telle que décrite par l'ANSI, c'est pas tant de ne faire confiance à rien, mais plutôt de réduire drastiquement la confiance. implicite. On ne suppose plus qu'un utilisateur ou un appareil ou même un processus est légitime juste parce qu'il est déjà connecté au réseau de l'entreprise. Le mantra, c'est vraiment ne jamais faire confiance, toujours vérifier. A chaque fois. En pratique, ça veut dire quoi ? Ça veut dire que chaque demande d'accès à une ressource, un fichier, une appli, est évaluée individuellement. Et ça, selon le principe du moindre privilège. On ne donne accès qu'à ce qui est... strictement nécessaire pour la tâche en cours, pas plus.
Speaker #0
Le strict minimum.
Speaker #1
Et surtout, et c'est ça qui est important, cette vérification n'est pas faite une seule fois au début. Non, elle est continue ou au moins très fréquente.
Speaker #0
Ah d'accord, pas juste à la connexion initiale.
Speaker #1
Non, que la demande vienne d'un café en wifi public ou du bureau juste à côté, elle subit le même examen rigoureux. La politique d'accès, elle, elle s'ajuste dynamiquement.
Speaker #0
Dynamiquement ?
Speaker #1
Oui, en fonction du contexte. L'état de sécurité du poste utilisé, le comportement de l'utilisateur, l'heure, le lieu, tout un tas de facteurs.
Speaker #0
D'accord, donc on sort complètement de la logique du château fort. Tout ce qui est dedans est ami, tout ce qui est dehors est suspect.
Speaker #1
Exactement.
Speaker #0
Là, tout le monde est potentiellement suspect tout le temps. Mais alors, comment ça fonctionne concrètement pour prendre ces décisions d'accès qui bougent tout le temps ? Le document de l'ANSI parle du modèle ABAC, c'est ça ?
Speaker #1
Exactement. L'ABAC, c'est un des piliers techniques. Ça veut dire... Attribute-Based Access Control, donc le contrôle d'accès basé sur les attributs.
Speaker #0
Les attributs ?
Speaker #1
Voilà. Pour décider si Alice peut accéder au dossier Projet X depuis son PC portable à 14 heures, le système ne regarde pas juste si Alice a le droit en général. Non. Il va évaluer toute une série d'attributs. Des attributs sur le sujet, donc Alice, son rôle, ses habilitations, peut-être même un score de risque basé sur son comportement récent.
Speaker #0
Ah oui ?
Speaker #1
Oui. Des attributs sur la ressource, le dossier, son niveau de sensibilité, à quel projet il appartient, et puis des attributs sur le contexte, l'heure, la localisation bien sûr, mais surtout l'état de sécurité de son PC. Est-il à jour ? L'antivirus est actif ? Est-il détecté comme compromis ?
Speaker #0
Le niveau de menace globale aussi peut-être ?
Speaker #1
Exactement, le niveau de menace détecté sur le réseau à cet instant T. Tout ça entre en jeu.
Speaker #0
C'est complexe.
Speaker #1
Oui. Et elle ainsi décrit une architecture type pour orchestrer tout ça. On trouve souvent un cerveau, le Policy Decision Point, PDP, qui prend la décision, des informateurs, les Policy Information Point, PIP, qui lui fournissent tous ses attributs à jour, et enfin des gardiens, les Policy Enforcement Point, PEP, qui appliquent la décision sur le terrain. C'est eux qui bloquent ou autorisent la connexion, par exemple.
Speaker #0
D'accord, PDP, PIP, PEP.
Speaker #1
Et tout ça sépare bien la logique du décision, ça c'est le plan de contrôle, du trafic réel des utilisateurs, le plan de données.
Speaker #0
Ces attributs donc, ils sont vraiment au centre de tout. Mélenchon insiste beaucoup, vous l'avez dit, sur leurs contraintes. Pertinent, à jour, fiable, disponible, authentique. Ça semble être à la fois la force et peut-être le point faible du système, non ?
Speaker #1
C'est tout à fait ça. C'est un défi majeur et un point de vigilance constant. La robustesse de toute l'approche Zero Trust, elle repose entièrement sur la qualité de ses attributs.
Speaker #0
Logique.
Speaker #1
Imaginez, si l'attribut « état de mise et jour de l'antivirus » est obsolète, ou pire, faux, la décision d'accès sera faussée. C'est direct. Si l'attribut vient d'un outil de détection de menaces, un EDR sur le poste ou un CM qui analyse les logs, il faut que cet outil soit fiable.
Speaker #0
Oui, parce qu'un faux positif...
Speaker #1
Exactement. Un faux positif... une menace détectée à tort et hop, vous bloquez un utilisateur légitime qui ne peut plus travailler. Frustrant et contre-productif.
Speaker #0
Et un faux négatif ?
Speaker #1
C'est Pierre. Une menace réelle non détectée. Et l'attaquant passe à travers les mailles du filet, même avec le Zero Trust. Donc, gérer ce capital confiance dans les attributs, ça demande des processus, des outils très très solides.
Speaker #0
D'accord. La fiabilité des attributs, c'est vraiment clé. Maintenant, pour alimenter ce système et le faire fonctionner au quotidien, le document détaille plusieurs fonctions essentielles. Commençons peut-être par la gestion des identités. Ça semble être la base de la base, non ?
Speaker #1
C'est fondamental. Bon, ce n'est pas nouveau avec le Zero Trust, soyons clairs, mais ça devient encore plus critique. L'ANSI est très ferme là-dessus. Il faut une maîtrise parfaite de qui est qui et quoi est quoi dans le système d'information. Les utilisateurs, bien sûr, mais aussi les services, les applications, les appareils. Tout doit avoir une identité claire et gérée.
Speaker #0
Et l'authentification ? J'imagine qu'un simple mot de passe ne suffit plus ?
Speaker #1
Ah non, certainement pas. Une authentification forte est indispensable. Typiquement, on parle de MFA, Multi-Facteur Authentification, c'est-à-dire combiner plusieurs preuves d'identité. Quelque chose que vous savez, mot de passe, quelque chose que vous possédez, code sur mobile, clé physique, quelque chose que vous êtes, biométrie.
Speaker #0
D'accord.
Speaker #1
Et le document va même plus loin. Il évoque l'authentification continue ou périodique. Pour vérifier que la session n'a pas été détournée en cours de route.
Speaker #0
Comment ça, détournée ?
Speaker #1
Par un vol de cookies de session, par exemple. Un attaquant récupère votre ticket d'entrée et se fait passer pour vous. L'authentification continue vise à détecter ça.
Speaker #0
Malin.
Speaker #1
LNC cite des standards comme FIDO2, qui permettent une authentification sans mot de passe et très résistante au phishing, ou le stockage sécurisé des secrets dans des HSM. Des bonnes pratiques à renforcer.
Speaker #0
Très bien. Et l'autre, c'est la gestion des appareils. Surtout avec ce fameux B.I.O.D. que l'ANSI mentionne comme un facteur déclencheur. On ne peut pas faire confiance à l'utilisateur sans vérifier l'appareil qu'il utilise, j'imagine. C'est lié.
Speaker #1
C'est exactement ça. C'est l'autre face de la même pièce. On doit pouvoir évaluer le niveau de confiance qu'on peut accorder à l'équipement qui tente de se connecter. Est-ce qu'il est géré par l'entreprise ? Est-il à jour ? Est-ce que sa configuration est sécurisée, durcie, comme on dit ? Et surtout, n'est-il pas déjà infecté par un malware ?
Speaker #0
Et comment on vérifie tout ça ?
Speaker #1
Alors ? On s'appuie sur différents mécanismes. Le Secure Boot, par exemple, qui vérifie l'intégrité du démarrage de la machine, le contrôle des applications installées et de plus en plus la détection d'activités suspectes par un agent EDR, ce Endpoint Detection and Response qui tourne sur le poste.
Speaker #0
Et pour le BYOD, les appareils personnels ?
Speaker #1
Alors là, l'ANSI est très pragmatique. La confiance qu'on peut accorder à un appareil personnel qui n'est pas maîtrisé par l'organisation. est par nature limitée, très limitée.
Speaker #0
Même si on installe des suites ici-dessus ?
Speaker #1
Même avec des agents installés pour améliorer la visibilité, le niveau de contrôle ne sera jamais le même que sur un poste fourni et géré par l'entreprise. C'est un vrai casse-tête, le BYOD, dans une approche Zero Trust Strict.
Speaker #0
Je comprends. Un autre élément qui semble très important, c'est le rôle de la détection de la menace pour ajuster la confiance en temps réel. Vous l'avez évoqué.
Speaker #1
Oui. C'est là où le Zero Trust devient vraiment dynamique et intelligent, si on peut dire. L'idée, c'est de pouvoir détecter au plus tôt les signes d'une compromission. Un compte utilisateur qui a été piraté, un poste qui est infecté, pour pouvoir réagir immédiatement.
Speaker #0
Réagir comment ?
Speaker #1
En réduisant ou en réévoquant les accès de cet utilisateur ou de ce poste. Très vite, pour contenir l'attaque.
Speaker #0
Et ça passe par quoi, cette détection ?
Speaker #1
Pour ça, il faut collecter et analyser en continu les événements de sécurité. Souvent vient un SIEM qui centralise les logs de partout. On utilise des techniques classiques, comme la détection par signature, ça c'est pour les menaces déjà connues, mais aussi, et c'est là que ça devient plus complexe,
Speaker #0
le comportemental.
Speaker #1
Oui, l'analyse comportementale. pour repérer des anomalies, des actions suspectes qui sortent de l'ordinaire pour cet utilisateur ou ce poste. Souvent, on utilise des algos de machine learning pour ça.
Speaker #0
Le fameux machine learning.
Speaker #1
Oui, mais l'insim est en garde. Attention, cette analyse comportementale, c'est difficile à mettre en œuvre correctement et surtout à fiabiliser. Obtenir un score de confiance comportemental qui soit juste, sans trop d'erreurs, les faux positifs et les faux négatifs dont on parlait, ça demande beaucoup de données, des réglages très fins. et une certaine maturité technique.
Speaker #0
Donc la promesse de l'IA qui devine les intentions malveillantes, d'après l'ANSI, il faut rester prudent sur le terrain.
Speaker #1
Exactement. L'ANSI souligne le potentiel, bien sûr, mais aussi la complexité et les risques d'erreur. Il ne faut pas croire que ces outils sont magiques et résolvent tout d'un coup de baguette. La fiabilité dépend énormément de la qualité des données d'entrée et de la finesse de la configuration.
Speaker #0
Bien noté. Maintenant, plus concrètement, pour protéger l'accès aux ressources elles-mêmes, Quels sont les mécanismes techniques qu'on associe souvent au Zero Trust ? Le document mentionne le SDP par exemple.
Speaker #1
Oui, le SDP ou Software Defined Perimeter, c'est une bonne illustration. On peut le voir comme une sorte de VPN nouvelle génération, très ciblé.
Speaker #0
C'est-à-dire ?
Speaker #1
Au lieu d'ouvrir un accès large au réseau une fois qu'on est connecté, comme un VPN classique, le SDP établit un tunnel sécurisé et direct entre l'utilisateur qui a été vérifié et la ressource spécifique qu'il demande. Mais, et c'est crucial, seulement après que le plan de contrôle, le cerveau, a validé l'identité et le contexte selon la politique Zero Trust.
Speaker #0
Et si on n'est pas autorisé ?
Speaker #1
Si on n'est pas autorisé, la ressource n'est même pas visible sur le réseau. Elle n'existe pas, en quelque sorte. C'est le principe du Dark Network. On cache ce à quoi on n'a pas accès.
Speaker #0
Malin aussi ! D'autres approches, Evelyne ?
Speaker #1
Oui, il y a d'autres approches. On peut utiliser le cloisonnement réseau plus classique avec des VLAN ou de la micro-segmentation, mais en le pilotant dynamiquement par les décisions Zero Trust. L'accès réseau s'ouvre et se ferme à la demande, en fonction des attributs. Et puis, il y a aussi beaucoup l'utilisation de proxy et de reverse proxy Zero Trust.
Speaker #0
Des proxys ?
Speaker #1
Oui, ce sont des équipements qui filtrent le trafic. Ils agissent comme des points de contrôle obligatoires, soit devant les applications, soit pour l'accès Internet. Un proxy Zero Trust pour les flux sortants, par exemple, va vérifier l'identité et le contexte avant de laisser un utilisateur naviguer sur le web. Un reverse proxy Zero Trust, lui, il protège les serveurs internes. Il exige une authentification forte et une validation du contexte avant même de laisser la connexion arriver jusqu'au service applicatif. C'est comme un videur très strict à l'entrée de chaque application.
Speaker #0
D'accord, donc plusieurs briques techniques possibles pour mettre en œuvre la philosophie. Ces mécanismes semblent logiques, mais... On sent bien que tout ça, ce n'est pas simple à mettre en place. Et l'ANSI, fidèle à son pragmatisme habituel, liste d'ailleurs pas mal de risques et d'écueils. Quels sont les principaux points de vigilance selon eux ?
Speaker #1
Effectivement, l'ANSI met en garde contre plusieurs défis importants. On peut peut-être les regrouper. D'abord, il y a des risques liés à la complexité et à la fragilité opérationnelle. La centralisation des décisions d'accès dans ce fameux plan de contrôle, ça crée un point de défaillance critique s'il tombe en panne.
Speaker #0
Plus personne ne travaille.
Speaker #1
Voilà. Et comme on l'a beaucoup dit, la dépendance énorme à la qualité et à la disponibilité des attributs, c'est un risque majeur. Des données erronées ou indisponibles, et c'est tout le système qui déraille. Et puis, obtenir un score de confiance fiable, surtout basé sur le comportement, ça reste un vrai défi technique.
Speaker #0
D'accord. Complexité, fragilité, quoi d'autre ?
Speaker #1
Ensuite, il y a des enjeux liés au marché et à la standardisation. L'ensinote, et c'est important, L'écart parfois conséquent entre le concept théorique du Zero Trust et ce que proposent réellement les produits du marché estampillé Zero Trust.
Speaker #0
Le marketing.
Speaker #1
Exactement. Il faut se méfier du marketing et bien regarder sous le capot. Et le manque actuel de standards bien établis peut aussi créer une dépendance forte à un seul fournisseur, ce qu'on appelle le vendor lock-in.
Speaker #0
Oui, le risque d'être pied et poing lié à un éditeur.
Speaker #1
C'est ça. Et enfin, il y a des impacts sur les performances et les dépendances. Multiplier les contrôles continus, évaluer plein d'attributs à chaque fois, ça peut ralentir l'accès aux ressources si ce n'est pas très bien conçu et optimisé. Et même si le cloud n'est pas obligatoire en soi, il faut reconnaître qu'il facilite certaines briques technologiques du Zero Trust, comme le machine learning ou la bac à grande échelle. Ce qui peut du coup renforcer une dépendance au service cloud, avec les questions de souveraineté que ça peut poser parfois.
Speaker #0
Donc on voit bien l'équilibre délicat à trouver entre la sécurité renforcée qui est promise et cette complexité, cette fragilité potentielle des dépendances induites. Face à tous ces défis, que recommande l'ANSI pour aborder le Zero Trust de manière réaliste et efficace ? Pas le grand soir du jour au lendemain, j'imagine ?
Speaker #1
Ah non, surtout pas. L'approche PRONET est clairement progressive, pragmatique et basée sur les risques spécifiques de chaque organisation. Pas de copier-coller. L'ANSI insiste vraiment sur plusieurs étapes clés. Premièrement, bien définir ses objectifs. Qu'est-ce qu'on cherche à protéger en priorité ? Quels sont nos scénarios de risque majeurs ? Et aussi, évaluer honnêtement sa maturité actuelle. Où en est-on sur les fondamentaux de la sécurité ?
Speaker #0
Les fondamentaux ?
Speaker #1
Oui, et c'est le deuxième point, crucial. Identifier des cas d'usage précis où le Zero Trust apportera une réelle valeur ajoutée. Par exemple... Protéger l'accès distant des prestataires ou sécuriser l'accès à une application particulièrement critique. Il ne faut pas vouloir tout faire d'un coup.
Speaker #0
Commencer petit et ciblé.
Speaker #1
Ça paraît basique, mais c'est essentiel. Ça veut dire quoi ? Avoir un inventaire précis et à jour des actifs utilisateurs, appareils, applications données. Avoir une gestion des identités solides, cycle de vie des comptes, compte unique. Avoir une gestion de la conformité et de la sécurité des appareils. Une classification claire des données. Et bien sûr, définir et gérer rigoureusement les fameux attributs. Lesquels sont vraiment utiles pour nous ? Comment garantir leur fiabilité ?
Speaker #0
Sans ces bases saines ?
Speaker #1
Sans ces bases saines, construire un château Zero Trust, c'est illusoire. Ça ne tiendra pas.
Speaker #0
D'accord. Et une fois ces bases posées ?
Speaker #1
Alors, on peut construire la politique d'Axel de manière itérative. Commencer par des règles basées sur des critères de conformité simples et vérifiables. Le poste est-il à jour ? L'utilisateur a-t-il le bon rôle ? L'accès se fait-il depuis une zone géographique attendue ? Avant, éventuellement, de vouloir intégrer des scores de confiance comportementaux plus complexes, qui demandent plus de maturité et de recul.
Speaker #0
Et l'authentification ?
Speaker #1
Utiliser systématiquement une authentification forte, on l'a dit, résistante au phishing, idéalement basée sur des certificats, du MFA robuste, c'est non négociable.
Speaker #0
Et les anciennes défenses ? Le pare-feu ? La segmentation ? On jette tout ?
Speaker #1
Surtout pas. C'est un message très fort de l'ANSI, ne pas abandonner les autres couches de sécurité. La segmentation réseau, la sécurité périmétrique, les pare-feux, tout ça reste nécessaire. Le Zero Trust vient en complément, pour renforcer la défense en profondeur, pas pour la remplacer.
Speaker #0
C'est une couche de plus en fait.
Speaker #1
C'est une couche de plus et une philosophie différente mais qui s'intègre dans l'existant. Un autre point très spécifique mais important pour l'ANSI, sécuriser drastiquement les accès d'administration. Pour eux, ces accès aux privilèges élevés doivent impérativement passer par des postes de travail dédiés, durcis et distincts des postes bureautiques classiques, même dans un contexte zéro trust.
Speaker #0
Pas de BYOD pour les admins donc ?
Speaker #1
Le BYOD pour l'administration est clairement à proscrire selon l'ANSI. Trop risqué ! Et enfin, bien sûr, tester, auditer régulièrement les règles et la configuration du système zéro trust. Et ne pas oublier d'accompagner les utilisateurs. Ces contrôles peuvent être plus présents, il faut expliquer pourquoi et comment ça fonctionne.
Speaker #0
Très clair. Ce qui ressort de tout ça, c'est que le Zero Trust, ce n'est définitivement pas un produit miracle qu'on achète sur étagère.
Speaker #1
Pas du tout. C'est une stratégie de sécurité exigeante, une philosophie qui demande un investissement important en termes de processus, de technologie, mais peut-être surtout de maturité organisationnelle.
Speaker #0
Oui, la maturité est clé.
Speaker #1
Et ce n'est pas tout. pas tant zéro confiance au sens littéral et un peu anxiogène, mais plutôt une confiance conditionnelle, limitée et vérifiée en permanence. C'est plus juste, non ? C'est exactement ça. C'est une démarche au long cours, vraiment, pour adapter la sécurité aux réalités d'aujourd'hui. La mobilité, le cloud, les menaces internes qui sont aussi une réalité. L'essentiel, c'est vraiment d'être pragmatique, d'être guidé par ses propres risques et de construire sur des fondations solides. L'identité, les appareils, la segmentation. et par-dessus tout la fiabilité des informations, ces fameux attributs qui conditionnent tout le reste.
Speaker #0
Et garder un œil critique sur les discours marketing.
Speaker #1
Et bien sûr, garder un œil très critique sur les discours marketing autour du terme « zero trust » , qui est parfois utilisé à tort et à travers.
Speaker #0
Comprendre cette évolution, c'est essentiel. Qu'on soit DSI, RSSI ou même simplement utilisateur d'outils numériques dans un cadre pro ou perso, la manière dont nos accès sont gérés est en train de changer. profondément, vers plus de granularité, plus de contexte.
Speaker #1
C'est une transformation de fond.
Speaker #0
Oui.
Speaker #1
Et pour conclure peut-être, cette exploration soulève une réflexion intéressante qui est un peu en filigrane dans le document de l'ANSI, je trouve. Toute cette complexité dont on a parlé, cette dépendance critique à des données fiables, à jour, en temps réel, est-ce qu'une confiance réellement zéro, au sens absolu, est non seulement atteignable techniquement, ce qui est déjà un défi, mais est-ce qu'elle est même souhaitable ?
Speaker #0
Souhaitable.
Speaker #1
Oui, dans nos systèmes qui sont si interconnectés, si dynamiques, où se situe le juste équilibre pour une confiance gérée, une confiance minimale mais peut-être nécessaire pour que les choses fonctionnent, qui soit à la fois efficace pour la sécurité et soutenable au quotidien, pour les organisations et pour les utilisateurs qui doivent bien pouvoir travailler ?
Speaker #0
La question du curseur en somme, où placer le curseur de la confiance ?
Speaker #1
Exactement. Quel est le bon niveau de confiance minimale viable ? C'est une question qui reste ouverte, je pense, et qui mérite d'être méditée au fur et à mesure que ces approches se déploient.

About Cyber Claire

🎙️ Cybersécurité & Conformité : le podcast qui rend la réglementation accessible
Vous êtes RSSI, DPO, compliance officer ou simplement curieux des enjeux de la cybersécurité ?
Nous décryptons pour vous les textes complexes et obligations réglementaires : NIS2, DORA, LPM, RGPD, ISO 27001, guides ANSSI… Transformés en épisodes clairs, concrets et faciles à écouter.

✅ Comprenez l’essentiel de la GRC (Gouvernance, Risques & Conformité)
✅ Suivez l’actualité réglementaire en cybersécurité
✅ Gagnez du temps avec des synthèses pratiques et pédagogiques

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Un épisode clair et utile pour les pros de l’IT, de la sécu, et toute organisation souhaitant moderniser sa cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue à cette nouvelle analyse approfondie. Aujourd'hui, on plonge dans un concept omniprésent en cybersécurité, le Zero Trust. Un terme qu'on entend vraiment partout, mais bon, qu'est-ce que ça recouvre au juste ?
Speaker #1
Oui, c'est un terme un peu fourre-tout parfois.
Speaker #0
Exactement. Alors, pour y voir plus clair, on va s'appuyer sur une source solide, les fondamentaux du modèle Zero Trust publié par l'ANSI. l'Agence nationale de la sécurité des systèmes d'information. C'est un document de juin 2025. Une perspective française, officielle et experte.
Speaker #1
Tout à fait, une référence importante.
Speaker #0
Notre mission, si on peut dire, c'est de décortiquer un peu ce modèle, comprendre pourquoi il est devenu si, si pertinent, avec l'explosion du télétravail, le fameux BYOD, l'usage des appareils personnels, et puis le cloud partout.
Speaker #1
C'est clair que le paysage a changé.
Speaker #0
Et la question ? Est-ce que c'est la solution miracle qui remplace tout ? Nancy, elle, nous dit d'emblée que non.
Speaker #1
Non, elle est prudente là-dessus. C'est plutôt un complément. Indispensable, mais un complément à la défense en profondeur classique.
Speaker #0
Voilà. Alors pourquoi s'y intéresser de près ? Parce que le Zero Trust, ça change radicalement notre façon de penser la sécurité. C'est ça le point clé.
Speaker #1
C'est un changement de paradigme, oui.
Speaker #0
Fini la confiance par défaut juste parce qu'on est dans le réseau. Chaque accès Chaque requête, paf, vérification systématique.
Speaker #1
Exactement.
Speaker #0
C'est une vraie révolution philosophique presque. Prêt à explorer ça ?
Speaker #1
Allons-y.
Speaker #0
Alors pour commencer, allons au cœur du sujet. Quel est le principe fondamental de ce Zero Trust ? Confiance zéro, ça sonne quand même un peu extrême, non ?
Speaker #1
C'est vrai que le terme est fort. Mais l'idée centrale, telle que décrite par l'ANSI, c'est pas tant de ne faire confiance à rien, mais plutôt de réduire drastiquement la confiance. implicite. On ne suppose plus qu'un utilisateur ou un appareil ou même un processus est légitime juste parce qu'il est déjà connecté au réseau de l'entreprise. Le mantra, c'est vraiment ne jamais faire confiance, toujours vérifier. A chaque fois. En pratique, ça veut dire quoi ? Ça veut dire que chaque demande d'accès à une ressource, un fichier, une appli, est évaluée individuellement. Et ça, selon le principe du moindre privilège. On ne donne accès qu'à ce qui est... strictement nécessaire pour la tâche en cours, pas plus.
Speaker #0
Le strict minimum.
Speaker #1
Et surtout, et c'est ça qui est important, cette vérification n'est pas faite une seule fois au début. Non, elle est continue ou au moins très fréquente.
Speaker #0
Ah d'accord, pas juste à la connexion initiale.
Speaker #1
Non, que la demande vienne d'un café en wifi public ou du bureau juste à côté, elle subit le même examen rigoureux. La politique d'accès, elle, elle s'ajuste dynamiquement.
Speaker #0
Dynamiquement ?
Speaker #1
Oui, en fonction du contexte. L'état de sécurité du poste utilisé, le comportement de l'utilisateur, l'heure, le lieu, tout un tas de facteurs.
Speaker #0
D'accord, donc on sort complètement de la logique du château fort. Tout ce qui est dedans est ami, tout ce qui est dehors est suspect.
Speaker #1
Exactement.
Speaker #0
Là, tout le monde est potentiellement suspect tout le temps. Mais alors, comment ça fonctionne concrètement pour prendre ces décisions d'accès qui bougent tout le temps ? Le document de l'ANSI parle du modèle ABAC, c'est ça ?
Speaker #1
Exactement. L'ABAC, c'est un des piliers techniques. Ça veut dire... Attribute-Based Access Control, donc le contrôle d'accès basé sur les attributs.
Speaker #0
Les attributs ?
Speaker #1
Voilà. Pour décider si Alice peut accéder au dossier Projet X depuis son PC portable à 14 heures, le système ne regarde pas juste si Alice a le droit en général. Non. Il va évaluer toute une série d'attributs. Des attributs sur le sujet, donc Alice, son rôle, ses habilitations, peut-être même un score de risque basé sur son comportement récent.
Speaker #0
Ah oui ?
Speaker #1
Oui. Des attributs sur la ressource, le dossier, son niveau de sensibilité, à quel projet il appartient, et puis des attributs sur le contexte, l'heure, la localisation bien sûr, mais surtout l'état de sécurité de son PC. Est-il à jour ? L'antivirus est actif ? Est-il détecté comme compromis ?
Speaker #0
Le niveau de menace globale aussi peut-être ?
Speaker #1
Exactement, le niveau de menace détecté sur le réseau à cet instant T. Tout ça entre en jeu.
Speaker #0
C'est complexe.
Speaker #1
Oui. Et elle ainsi décrit une architecture type pour orchestrer tout ça. On trouve souvent un cerveau, le Policy Decision Point, PDP, qui prend la décision, des informateurs, les Policy Information Point, PIP, qui lui fournissent tous ses attributs à jour, et enfin des gardiens, les Policy Enforcement Point, PEP, qui appliquent la décision sur le terrain. C'est eux qui bloquent ou autorisent la connexion, par exemple.
Speaker #0
D'accord, PDP, PIP, PEP.
Speaker #1
Et tout ça sépare bien la logique du décision, ça c'est le plan de contrôle, du trafic réel des utilisateurs, le plan de données.
Speaker #0
Ces attributs donc, ils sont vraiment au centre de tout. Mélenchon insiste beaucoup, vous l'avez dit, sur leurs contraintes. Pertinent, à jour, fiable, disponible, authentique. Ça semble être à la fois la force et peut-être le point faible du système, non ?
Speaker #1
C'est tout à fait ça. C'est un défi majeur et un point de vigilance constant. La robustesse de toute l'approche Zero Trust, elle repose entièrement sur la qualité de ses attributs.
Speaker #0
Logique.
Speaker #1
Imaginez, si l'attribut « état de mise et jour de l'antivirus » est obsolète, ou pire, faux, la décision d'accès sera faussée. C'est direct. Si l'attribut vient d'un outil de détection de menaces, un EDR sur le poste ou un CM qui analyse les logs, il faut que cet outil soit fiable.
Speaker #0
Oui, parce qu'un faux positif...
Speaker #1
Exactement. Un faux positif... une menace détectée à tort et hop, vous bloquez un utilisateur légitime qui ne peut plus travailler. Frustrant et contre-productif.
Speaker #0
Et un faux négatif ?
Speaker #1
C'est Pierre. Une menace réelle non détectée. Et l'attaquant passe à travers les mailles du filet, même avec le Zero Trust. Donc, gérer ce capital confiance dans les attributs, ça demande des processus, des outils très très solides.
Speaker #0
D'accord. La fiabilité des attributs, c'est vraiment clé. Maintenant, pour alimenter ce système et le faire fonctionner au quotidien, le document détaille plusieurs fonctions essentielles. Commençons peut-être par la gestion des identités. Ça semble être la base de la base, non ?
Speaker #1
C'est fondamental. Bon, ce n'est pas nouveau avec le Zero Trust, soyons clairs, mais ça devient encore plus critique. L'ANSI est très ferme là-dessus. Il faut une maîtrise parfaite de qui est qui et quoi est quoi dans le système d'information. Les utilisateurs, bien sûr, mais aussi les services, les applications, les appareils. Tout doit avoir une identité claire et gérée.
Speaker #0
Et l'authentification ? J'imagine qu'un simple mot de passe ne suffit plus ?
Speaker #1
Ah non, certainement pas. Une authentification forte est indispensable. Typiquement, on parle de MFA, Multi-Facteur Authentification, c'est-à-dire combiner plusieurs preuves d'identité. Quelque chose que vous savez, mot de passe, quelque chose que vous possédez, code sur mobile, clé physique, quelque chose que vous êtes, biométrie.
Speaker #0
D'accord.
Speaker #1
Et le document va même plus loin. Il évoque l'authentification continue ou périodique. Pour vérifier que la session n'a pas été détournée en cours de route.
Speaker #0
Comment ça, détournée ?
Speaker #1
Par un vol de cookies de session, par exemple. Un attaquant récupère votre ticket d'entrée et se fait passer pour vous. L'authentification continue vise à détecter ça.
Speaker #0
Malin.
Speaker #1
LNC cite des standards comme FIDO2, qui permettent une authentification sans mot de passe et très résistante au phishing, ou le stockage sécurisé des secrets dans des HSM. Des bonnes pratiques à renforcer.
Speaker #0
Très bien. Et l'autre, c'est la gestion des appareils. Surtout avec ce fameux B.I.O.D. que l'ANSI mentionne comme un facteur déclencheur. On ne peut pas faire confiance à l'utilisateur sans vérifier l'appareil qu'il utilise, j'imagine. C'est lié.
Speaker #1
C'est exactement ça. C'est l'autre face de la même pièce. On doit pouvoir évaluer le niveau de confiance qu'on peut accorder à l'équipement qui tente de se connecter. Est-ce qu'il est géré par l'entreprise ? Est-il à jour ? Est-ce que sa configuration est sécurisée, durcie, comme on dit ? Et surtout, n'est-il pas déjà infecté par un malware ?
Speaker #0
Et comment on vérifie tout ça ?
Speaker #1
Alors ? On s'appuie sur différents mécanismes. Le Secure Boot, par exemple, qui vérifie l'intégrité du démarrage de la machine, le contrôle des applications installées et de plus en plus la détection d'activités suspectes par un agent EDR, ce Endpoint Detection and Response qui tourne sur le poste.
Speaker #0
Et pour le BYOD, les appareils personnels ?
Speaker #1
Alors là, l'ANSI est très pragmatique. La confiance qu'on peut accorder à un appareil personnel qui n'est pas maîtrisé par l'organisation. est par nature limitée, très limitée.
Speaker #0
Même si on installe des suites ici-dessus ?
Speaker #1
Même avec des agents installés pour améliorer la visibilité, le niveau de contrôle ne sera jamais le même que sur un poste fourni et géré par l'entreprise. C'est un vrai casse-tête, le BYOD, dans une approche Zero Trust Strict.
Speaker #0
Je comprends. Un autre élément qui semble très important, c'est le rôle de la détection de la menace pour ajuster la confiance en temps réel. Vous l'avez évoqué.
Speaker #1
Oui. C'est là où le Zero Trust devient vraiment dynamique et intelligent, si on peut dire. L'idée, c'est de pouvoir détecter au plus tôt les signes d'une compromission. Un compte utilisateur qui a été piraté, un poste qui est infecté, pour pouvoir réagir immédiatement.
Speaker #0
Réagir comment ?
Speaker #1
En réduisant ou en réévoquant les accès de cet utilisateur ou de ce poste. Très vite, pour contenir l'attaque.
Speaker #0
Et ça passe par quoi, cette détection ?
Speaker #1
Pour ça, il faut collecter et analyser en continu les événements de sécurité. Souvent vient un SIEM qui centralise les logs de partout. On utilise des techniques classiques, comme la détection par signature, ça c'est pour les menaces déjà connues, mais aussi, et c'est là que ça devient plus complexe,
Speaker #0
le comportemental.
Speaker #1
Oui, l'analyse comportementale. pour repérer des anomalies, des actions suspectes qui sortent de l'ordinaire pour cet utilisateur ou ce poste. Souvent, on utilise des algos de machine learning pour ça.
Speaker #0
Le fameux machine learning.
Speaker #1
Oui, mais l'insim est en garde. Attention, cette analyse comportementale, c'est difficile à mettre en œuvre correctement et surtout à fiabiliser. Obtenir un score de confiance comportemental qui soit juste, sans trop d'erreurs, les faux positifs et les faux négatifs dont on parlait, ça demande beaucoup de données, des réglages très fins. et une certaine maturité technique.
Speaker #0
Donc la promesse de l'IA qui devine les intentions malveillantes, d'après l'ANSI, il faut rester prudent sur le terrain.
Speaker #1
Exactement. L'ANSI souligne le potentiel, bien sûr, mais aussi la complexité et les risques d'erreur. Il ne faut pas croire que ces outils sont magiques et résolvent tout d'un coup de baguette. La fiabilité dépend énormément de la qualité des données d'entrée et de la finesse de la configuration.
Speaker #0
Bien noté. Maintenant, plus concrètement, pour protéger l'accès aux ressources elles-mêmes, Quels sont les mécanismes techniques qu'on associe souvent au Zero Trust ? Le document mentionne le SDP par exemple.
Speaker #1
Oui, le SDP ou Software Defined Perimeter, c'est une bonne illustration. On peut le voir comme une sorte de VPN nouvelle génération, très ciblé.
Speaker #0
C'est-à-dire ?
Speaker #1
Au lieu d'ouvrir un accès large au réseau une fois qu'on est connecté, comme un VPN classique, le SDP établit un tunnel sécurisé et direct entre l'utilisateur qui a été vérifié et la ressource spécifique qu'il demande. Mais, et c'est crucial, seulement après que le plan de contrôle, le cerveau, a validé l'identité et le contexte selon la politique Zero Trust.
Speaker #0
Et si on n'est pas autorisé ?
Speaker #1
Si on n'est pas autorisé, la ressource n'est même pas visible sur le réseau. Elle n'existe pas, en quelque sorte. C'est le principe du Dark Network. On cache ce à quoi on n'a pas accès.
Speaker #0
Malin aussi ! D'autres approches, Evelyne ?
Speaker #1
Oui, il y a d'autres approches. On peut utiliser le cloisonnement réseau plus classique avec des VLAN ou de la micro-segmentation, mais en le pilotant dynamiquement par les décisions Zero Trust. L'accès réseau s'ouvre et se ferme à la demande, en fonction des attributs. Et puis, il y a aussi beaucoup l'utilisation de proxy et de reverse proxy Zero Trust.
Speaker #0
Des proxys ?
Speaker #1
Oui, ce sont des équipements qui filtrent le trafic. Ils agissent comme des points de contrôle obligatoires, soit devant les applications, soit pour l'accès Internet. Un proxy Zero Trust pour les flux sortants, par exemple, va vérifier l'identité et le contexte avant de laisser un utilisateur naviguer sur le web. Un reverse proxy Zero Trust, lui, il protège les serveurs internes. Il exige une authentification forte et une validation du contexte avant même de laisser la connexion arriver jusqu'au service applicatif. C'est comme un videur très strict à l'entrée de chaque application.
Speaker #0
D'accord, donc plusieurs briques techniques possibles pour mettre en œuvre la philosophie. Ces mécanismes semblent logiques, mais... On sent bien que tout ça, ce n'est pas simple à mettre en place. Et l'ANSI, fidèle à son pragmatisme habituel, liste d'ailleurs pas mal de risques et d'écueils. Quels sont les principaux points de vigilance selon eux ?
Speaker #1
Effectivement, l'ANSI met en garde contre plusieurs défis importants. On peut peut-être les regrouper. D'abord, il y a des risques liés à la complexité et à la fragilité opérationnelle. La centralisation des décisions d'accès dans ce fameux plan de contrôle, ça crée un point de défaillance critique s'il tombe en panne.
Speaker #0
Plus personne ne travaille.
Speaker #1
Voilà. Et comme on l'a beaucoup dit, la dépendance énorme à la qualité et à la disponibilité des attributs, c'est un risque majeur. Des données erronées ou indisponibles, et c'est tout le système qui déraille. Et puis, obtenir un score de confiance fiable, surtout basé sur le comportement, ça reste un vrai défi technique.
Speaker #0
D'accord. Complexité, fragilité, quoi d'autre ?
Speaker #1
Ensuite, il y a des enjeux liés au marché et à la standardisation. L'ensinote, et c'est important, L'écart parfois conséquent entre le concept théorique du Zero Trust et ce que proposent réellement les produits du marché estampillé Zero Trust.
Speaker #0
Le marketing.
Speaker #1
Exactement. Il faut se méfier du marketing et bien regarder sous le capot. Et le manque actuel de standards bien établis peut aussi créer une dépendance forte à un seul fournisseur, ce qu'on appelle le vendor lock-in.
Speaker #0
Oui, le risque d'être pied et poing lié à un éditeur.
Speaker #1
C'est ça. Et enfin, il y a des impacts sur les performances et les dépendances. Multiplier les contrôles continus, évaluer plein d'attributs à chaque fois, ça peut ralentir l'accès aux ressources si ce n'est pas très bien conçu et optimisé. Et même si le cloud n'est pas obligatoire en soi, il faut reconnaître qu'il facilite certaines briques technologiques du Zero Trust, comme le machine learning ou la bac à grande échelle. Ce qui peut du coup renforcer une dépendance au service cloud, avec les questions de souveraineté que ça peut poser parfois.
Speaker #0
Donc on voit bien l'équilibre délicat à trouver entre la sécurité renforcée qui est promise et cette complexité, cette fragilité potentielle des dépendances induites. Face à tous ces défis, que recommande l'ANSI pour aborder le Zero Trust de manière réaliste et efficace ? Pas le grand soir du jour au lendemain, j'imagine ?
Speaker #1
Ah non, surtout pas. L'approche PRONET est clairement progressive, pragmatique et basée sur les risques spécifiques de chaque organisation. Pas de copier-coller. L'ANSI insiste vraiment sur plusieurs étapes clés. Premièrement, bien définir ses objectifs. Qu'est-ce qu'on cherche à protéger en priorité ? Quels sont nos scénarios de risque majeurs ? Et aussi, évaluer honnêtement sa maturité actuelle. Où en est-on sur les fondamentaux de la sécurité ?
Speaker #0
Les fondamentaux ?
Speaker #1
Oui, et c'est le deuxième point, crucial. Identifier des cas d'usage précis où le Zero Trust apportera une réelle valeur ajoutée. Par exemple... Protéger l'accès distant des prestataires ou sécuriser l'accès à une application particulièrement critique. Il ne faut pas vouloir tout faire d'un coup.
Speaker #0
Commencer petit et ciblé.
Speaker #1
Ça paraît basique, mais c'est essentiel. Ça veut dire quoi ? Avoir un inventaire précis et à jour des actifs utilisateurs, appareils, applications données. Avoir une gestion des identités solides, cycle de vie des comptes, compte unique. Avoir une gestion de la conformité et de la sécurité des appareils. Une classification claire des données. Et bien sûr, définir et gérer rigoureusement les fameux attributs. Lesquels sont vraiment utiles pour nous ? Comment garantir leur fiabilité ?
Speaker #0
Sans ces bases saines ?
Speaker #1
Sans ces bases saines, construire un château Zero Trust, c'est illusoire. Ça ne tiendra pas.
Speaker #0
D'accord. Et une fois ces bases posées ?
Speaker #1
Alors, on peut construire la politique d'Axel de manière itérative. Commencer par des règles basées sur des critères de conformité simples et vérifiables. Le poste est-il à jour ? L'utilisateur a-t-il le bon rôle ? L'accès se fait-il depuis une zone géographique attendue ? Avant, éventuellement, de vouloir intégrer des scores de confiance comportementaux plus complexes, qui demandent plus de maturité et de recul.
Speaker #0
Et l'authentification ?
Speaker #1
Utiliser systématiquement une authentification forte, on l'a dit, résistante au phishing, idéalement basée sur des certificats, du MFA robuste, c'est non négociable.
Speaker #0
Et les anciennes défenses ? Le pare-feu ? La segmentation ? On jette tout ?
Speaker #1
Surtout pas. C'est un message très fort de l'ANSI, ne pas abandonner les autres couches de sécurité. La segmentation réseau, la sécurité périmétrique, les pare-feux, tout ça reste nécessaire. Le Zero Trust vient en complément, pour renforcer la défense en profondeur, pas pour la remplacer.
Speaker #0
C'est une couche de plus en fait.
Speaker #1
C'est une couche de plus et une philosophie différente mais qui s'intègre dans l'existant. Un autre point très spécifique mais important pour l'ANSI, sécuriser drastiquement les accès d'administration. Pour eux, ces accès aux privilèges élevés doivent impérativement passer par des postes de travail dédiés, durcis et distincts des postes bureautiques classiques, même dans un contexte zéro trust.
Speaker #0
Pas de BYOD pour les admins donc ?
Speaker #1
Le BYOD pour l'administration est clairement à proscrire selon l'ANSI. Trop risqué ! Et enfin, bien sûr, tester, auditer régulièrement les règles et la configuration du système zéro trust. Et ne pas oublier d'accompagner les utilisateurs. Ces contrôles peuvent être plus présents, il faut expliquer pourquoi et comment ça fonctionne.
Speaker #0
Très clair. Ce qui ressort de tout ça, c'est que le Zero Trust, ce n'est définitivement pas un produit miracle qu'on achète sur étagère.
Speaker #1
Pas du tout. C'est une stratégie de sécurité exigeante, une philosophie qui demande un investissement important en termes de processus, de technologie, mais peut-être surtout de maturité organisationnelle.
Speaker #0
Oui, la maturité est clé.
Speaker #1
Et ce n'est pas tout. pas tant zéro confiance au sens littéral et un peu anxiogène, mais plutôt une confiance conditionnelle, limitée et vérifiée en permanence. C'est plus juste, non ? C'est exactement ça. C'est une démarche au long cours, vraiment, pour adapter la sécurité aux réalités d'aujourd'hui. La mobilité, le cloud, les menaces internes qui sont aussi une réalité. L'essentiel, c'est vraiment d'être pragmatique, d'être guidé par ses propres risques et de construire sur des fondations solides. L'identité, les appareils, la segmentation. et par-dessus tout la fiabilité des informations, ces fameux attributs qui conditionnent tout le reste.
Speaker #0
Et garder un œil critique sur les discours marketing.
Speaker #1
Et bien sûr, garder un œil très critique sur les discours marketing autour du terme « zero trust » , qui est parfois utilisé à tort et à travers.
Speaker #0
Comprendre cette évolution, c'est essentiel. Qu'on soit DSI, RSSI ou même simplement utilisateur d'outils numériques dans un cadre pro ou perso, la manière dont nos accès sont gérés est en train de changer. profondément, vers plus de granularité, plus de contexte.
Speaker #1
C'est une transformation de fond.
Speaker #0
Oui.
Speaker #1
Et pour conclure peut-être, cette exploration soulève une réflexion intéressante qui est un peu en filigrane dans le document de l'ANSI, je trouve. Toute cette complexité dont on a parlé, cette dépendance critique à des données fiables, à jour, en temps réel, est-ce qu'une confiance réellement zéro, au sens absolu, est non seulement atteignable techniquement, ce qui est déjà un défi, mais est-ce qu'elle est même souhaitable ?
Speaker #0
Souhaitable.
Speaker #1
Oui, dans nos systèmes qui sont si interconnectés, si dynamiques, où se situe le juste équilibre pour une confiance gérée, une confiance minimale mais peut-être nécessaire pour que les choses fonctionnent, qui soit à la fois efficace pour la sécurité et soutenable au quotidien, pour les organisations et pour les utilisateurs qui doivent bien pouvoir travailler ?
Speaker #0
La question du curseur en somme, où placer le curseur de la confiance ?
Speaker #1
Exactement. Quel est le bon niveau de confiance minimale viable ? C'est une question qui reste ouverte, je pense, et qui mérite d'être méditée au fur et à mesure que ces approches se déploient.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

Un épisode clair et utile pour les pros de l’IT, de la sécu, et toute organisation souhaitant moderniser sa cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue à cette nouvelle analyse approfondie. Aujourd'hui, on plonge dans un concept omniprésent en cybersécurité, le Zero Trust. Un terme qu'on entend vraiment partout, mais bon, qu'est-ce que ça recouvre au juste ?
Speaker #1
Oui, c'est un terme un peu fourre-tout parfois.
Speaker #0
Exactement. Alors, pour y voir plus clair, on va s'appuyer sur une source solide, les fondamentaux du modèle Zero Trust publié par l'ANSI. l'Agence nationale de la sécurité des systèmes d'information. C'est un document de juin 2025. Une perspective française, officielle et experte.
Speaker #1
Tout à fait, une référence importante.
Speaker #0
Notre mission, si on peut dire, c'est de décortiquer un peu ce modèle, comprendre pourquoi il est devenu si, si pertinent, avec l'explosion du télétravail, le fameux BYOD, l'usage des appareils personnels, et puis le cloud partout.
Speaker #1
C'est clair que le paysage a changé.
Speaker #0
Et la question ? Est-ce que c'est la solution miracle qui remplace tout ? Nancy, elle, nous dit d'emblée que non.
Speaker #1
Non, elle est prudente là-dessus. C'est plutôt un complément. Indispensable, mais un complément à la défense en profondeur classique.
Speaker #0
Voilà. Alors pourquoi s'y intéresser de près ? Parce que le Zero Trust, ça change radicalement notre façon de penser la sécurité. C'est ça le point clé.
Speaker #1
C'est un changement de paradigme, oui.
Speaker #0
Fini la confiance par défaut juste parce qu'on est dans le réseau. Chaque accès Chaque requête, paf, vérification systématique.
Speaker #1
Exactement.
Speaker #0
C'est une vraie révolution philosophique presque. Prêt à explorer ça ?
Speaker #1
Allons-y.
Speaker #0
Alors pour commencer, allons au cœur du sujet. Quel est le principe fondamental de ce Zero Trust ? Confiance zéro, ça sonne quand même un peu extrême, non ?
Speaker #1
C'est vrai que le terme est fort. Mais l'idée centrale, telle que décrite par l'ANSI, c'est pas tant de ne faire confiance à rien, mais plutôt de réduire drastiquement la confiance. implicite. On ne suppose plus qu'un utilisateur ou un appareil ou même un processus est légitime juste parce qu'il est déjà connecté au réseau de l'entreprise. Le mantra, c'est vraiment ne jamais faire confiance, toujours vérifier. A chaque fois. En pratique, ça veut dire quoi ? Ça veut dire que chaque demande d'accès à une ressource, un fichier, une appli, est évaluée individuellement. Et ça, selon le principe du moindre privilège. On ne donne accès qu'à ce qui est... strictement nécessaire pour la tâche en cours, pas plus.
Speaker #0
Le strict minimum.
Speaker #1
Et surtout, et c'est ça qui est important, cette vérification n'est pas faite une seule fois au début. Non, elle est continue ou au moins très fréquente.
Speaker #0
Ah d'accord, pas juste à la connexion initiale.
Speaker #1
Non, que la demande vienne d'un café en wifi public ou du bureau juste à côté, elle subit le même examen rigoureux. La politique d'accès, elle, elle s'ajuste dynamiquement.
Speaker #0
Dynamiquement ?
Speaker #1
Oui, en fonction du contexte. L'état de sécurité du poste utilisé, le comportement de l'utilisateur, l'heure, le lieu, tout un tas de facteurs.
Speaker #0
D'accord, donc on sort complètement de la logique du château fort. Tout ce qui est dedans est ami, tout ce qui est dehors est suspect.
Speaker #1
Exactement.
Speaker #0
Là, tout le monde est potentiellement suspect tout le temps. Mais alors, comment ça fonctionne concrètement pour prendre ces décisions d'accès qui bougent tout le temps ? Le document de l'ANSI parle du modèle ABAC, c'est ça ?
Speaker #1
Exactement. L'ABAC, c'est un des piliers techniques. Ça veut dire... Attribute-Based Access Control, donc le contrôle d'accès basé sur les attributs.
Speaker #0
Les attributs ?
Speaker #1
Voilà. Pour décider si Alice peut accéder au dossier Projet X depuis son PC portable à 14 heures, le système ne regarde pas juste si Alice a le droit en général. Non. Il va évaluer toute une série d'attributs. Des attributs sur le sujet, donc Alice, son rôle, ses habilitations, peut-être même un score de risque basé sur son comportement récent.
Speaker #0
Ah oui ?
Speaker #1
Oui. Des attributs sur la ressource, le dossier, son niveau de sensibilité, à quel projet il appartient, et puis des attributs sur le contexte, l'heure, la localisation bien sûr, mais surtout l'état de sécurité de son PC. Est-il à jour ? L'antivirus est actif ? Est-il détecté comme compromis ?
Speaker #0
Le niveau de menace globale aussi peut-être ?
Speaker #1
Exactement, le niveau de menace détecté sur le réseau à cet instant T. Tout ça entre en jeu.
Speaker #0
C'est complexe.
Speaker #1
Oui. Et elle ainsi décrit une architecture type pour orchestrer tout ça. On trouve souvent un cerveau, le Policy Decision Point, PDP, qui prend la décision, des informateurs, les Policy Information Point, PIP, qui lui fournissent tous ses attributs à jour, et enfin des gardiens, les Policy Enforcement Point, PEP, qui appliquent la décision sur le terrain. C'est eux qui bloquent ou autorisent la connexion, par exemple.
Speaker #0
D'accord, PDP, PIP, PEP.
Speaker #1
Et tout ça sépare bien la logique du décision, ça c'est le plan de contrôle, du trafic réel des utilisateurs, le plan de données.
Speaker #0
Ces attributs donc, ils sont vraiment au centre de tout. Mélenchon insiste beaucoup, vous l'avez dit, sur leurs contraintes. Pertinent, à jour, fiable, disponible, authentique. Ça semble être à la fois la force et peut-être le point faible du système, non ?
Speaker #1
C'est tout à fait ça. C'est un défi majeur et un point de vigilance constant. La robustesse de toute l'approche Zero Trust, elle repose entièrement sur la qualité de ses attributs.
Speaker #0
Logique.
Speaker #1
Imaginez, si l'attribut « état de mise et jour de l'antivirus » est obsolète, ou pire, faux, la décision d'accès sera faussée. C'est direct. Si l'attribut vient d'un outil de détection de menaces, un EDR sur le poste ou un CM qui analyse les logs, il faut que cet outil soit fiable.
Speaker #0
Oui, parce qu'un faux positif...
Speaker #1
Exactement. Un faux positif... une menace détectée à tort et hop, vous bloquez un utilisateur légitime qui ne peut plus travailler. Frustrant et contre-productif.
Speaker #0
Et un faux négatif ?
Speaker #1
C'est Pierre. Une menace réelle non détectée. Et l'attaquant passe à travers les mailles du filet, même avec le Zero Trust. Donc, gérer ce capital confiance dans les attributs, ça demande des processus, des outils très très solides.
Speaker #0
D'accord. La fiabilité des attributs, c'est vraiment clé. Maintenant, pour alimenter ce système et le faire fonctionner au quotidien, le document détaille plusieurs fonctions essentielles. Commençons peut-être par la gestion des identités. Ça semble être la base de la base, non ?
Speaker #1
C'est fondamental. Bon, ce n'est pas nouveau avec le Zero Trust, soyons clairs, mais ça devient encore plus critique. L'ANSI est très ferme là-dessus. Il faut une maîtrise parfaite de qui est qui et quoi est quoi dans le système d'information. Les utilisateurs, bien sûr, mais aussi les services, les applications, les appareils. Tout doit avoir une identité claire et gérée.
Speaker #0
Et l'authentification ? J'imagine qu'un simple mot de passe ne suffit plus ?
Speaker #1
Ah non, certainement pas. Une authentification forte est indispensable. Typiquement, on parle de MFA, Multi-Facteur Authentification, c'est-à-dire combiner plusieurs preuves d'identité. Quelque chose que vous savez, mot de passe, quelque chose que vous possédez, code sur mobile, clé physique, quelque chose que vous êtes, biométrie.
Speaker #0
D'accord.
Speaker #1
Et le document va même plus loin. Il évoque l'authentification continue ou périodique. Pour vérifier que la session n'a pas été détournée en cours de route.
Speaker #0
Comment ça, détournée ?
Speaker #1
Par un vol de cookies de session, par exemple. Un attaquant récupère votre ticket d'entrée et se fait passer pour vous. L'authentification continue vise à détecter ça.
Speaker #0
Malin.
Speaker #1
LNC cite des standards comme FIDO2, qui permettent une authentification sans mot de passe et très résistante au phishing, ou le stockage sécurisé des secrets dans des HSM. Des bonnes pratiques à renforcer.
Speaker #0
Très bien. Et l'autre, c'est la gestion des appareils. Surtout avec ce fameux B.I.O.D. que l'ANSI mentionne comme un facteur déclencheur. On ne peut pas faire confiance à l'utilisateur sans vérifier l'appareil qu'il utilise, j'imagine. C'est lié.
Speaker #1
C'est exactement ça. C'est l'autre face de la même pièce. On doit pouvoir évaluer le niveau de confiance qu'on peut accorder à l'équipement qui tente de se connecter. Est-ce qu'il est géré par l'entreprise ? Est-il à jour ? Est-ce que sa configuration est sécurisée, durcie, comme on dit ? Et surtout, n'est-il pas déjà infecté par un malware ?
Speaker #0
Et comment on vérifie tout ça ?
Speaker #1
Alors ? On s'appuie sur différents mécanismes. Le Secure Boot, par exemple, qui vérifie l'intégrité du démarrage de la machine, le contrôle des applications installées et de plus en plus la détection d'activités suspectes par un agent EDR, ce Endpoint Detection and Response qui tourne sur le poste.
Speaker #0
Et pour le BYOD, les appareils personnels ?
Speaker #1
Alors là, l'ANSI est très pragmatique. La confiance qu'on peut accorder à un appareil personnel qui n'est pas maîtrisé par l'organisation. est par nature limitée, très limitée.
Speaker #0
Même si on installe des suites ici-dessus ?
Speaker #1
Même avec des agents installés pour améliorer la visibilité, le niveau de contrôle ne sera jamais le même que sur un poste fourni et géré par l'entreprise. C'est un vrai casse-tête, le BYOD, dans une approche Zero Trust Strict.
Speaker #0
Je comprends. Un autre élément qui semble très important, c'est le rôle de la détection de la menace pour ajuster la confiance en temps réel. Vous l'avez évoqué.
Speaker #1
Oui. C'est là où le Zero Trust devient vraiment dynamique et intelligent, si on peut dire. L'idée, c'est de pouvoir détecter au plus tôt les signes d'une compromission. Un compte utilisateur qui a été piraté, un poste qui est infecté, pour pouvoir réagir immédiatement.
Speaker #0
Réagir comment ?
Speaker #1
En réduisant ou en réévoquant les accès de cet utilisateur ou de ce poste. Très vite, pour contenir l'attaque.
Speaker #0
Et ça passe par quoi, cette détection ?
Speaker #1
Pour ça, il faut collecter et analyser en continu les événements de sécurité. Souvent vient un SIEM qui centralise les logs de partout. On utilise des techniques classiques, comme la détection par signature, ça c'est pour les menaces déjà connues, mais aussi, et c'est là que ça devient plus complexe,
Speaker #0
le comportemental.
Speaker #1
Oui, l'analyse comportementale. pour repérer des anomalies, des actions suspectes qui sortent de l'ordinaire pour cet utilisateur ou ce poste. Souvent, on utilise des algos de machine learning pour ça.
Speaker #0
Le fameux machine learning.
Speaker #1
Oui, mais l'insim est en garde. Attention, cette analyse comportementale, c'est difficile à mettre en œuvre correctement et surtout à fiabiliser. Obtenir un score de confiance comportemental qui soit juste, sans trop d'erreurs, les faux positifs et les faux négatifs dont on parlait, ça demande beaucoup de données, des réglages très fins. et une certaine maturité technique.
Speaker #0
Donc la promesse de l'IA qui devine les intentions malveillantes, d'après l'ANSI, il faut rester prudent sur le terrain.
Speaker #1
Exactement. L'ANSI souligne le potentiel, bien sûr, mais aussi la complexité et les risques d'erreur. Il ne faut pas croire que ces outils sont magiques et résolvent tout d'un coup de baguette. La fiabilité dépend énormément de la qualité des données d'entrée et de la finesse de la configuration.
Speaker #0
Bien noté. Maintenant, plus concrètement, pour protéger l'accès aux ressources elles-mêmes, Quels sont les mécanismes techniques qu'on associe souvent au Zero Trust ? Le document mentionne le SDP par exemple.
Speaker #1
Oui, le SDP ou Software Defined Perimeter, c'est une bonne illustration. On peut le voir comme une sorte de VPN nouvelle génération, très ciblé.
Speaker #0
C'est-à-dire ?
Speaker #1
Au lieu d'ouvrir un accès large au réseau une fois qu'on est connecté, comme un VPN classique, le SDP établit un tunnel sécurisé et direct entre l'utilisateur qui a été vérifié et la ressource spécifique qu'il demande. Mais, et c'est crucial, seulement après que le plan de contrôle, le cerveau, a validé l'identité et le contexte selon la politique Zero Trust.
Speaker #0
Et si on n'est pas autorisé ?
Speaker #1
Si on n'est pas autorisé, la ressource n'est même pas visible sur le réseau. Elle n'existe pas, en quelque sorte. C'est le principe du Dark Network. On cache ce à quoi on n'a pas accès.
Speaker #0
Malin aussi ! D'autres approches, Evelyne ?
Speaker #1
Oui, il y a d'autres approches. On peut utiliser le cloisonnement réseau plus classique avec des VLAN ou de la micro-segmentation, mais en le pilotant dynamiquement par les décisions Zero Trust. L'accès réseau s'ouvre et se ferme à la demande, en fonction des attributs. Et puis, il y a aussi beaucoup l'utilisation de proxy et de reverse proxy Zero Trust.
Speaker #0
Des proxys ?
Speaker #1
Oui, ce sont des équipements qui filtrent le trafic. Ils agissent comme des points de contrôle obligatoires, soit devant les applications, soit pour l'accès Internet. Un proxy Zero Trust pour les flux sortants, par exemple, va vérifier l'identité et le contexte avant de laisser un utilisateur naviguer sur le web. Un reverse proxy Zero Trust, lui, il protège les serveurs internes. Il exige une authentification forte et une validation du contexte avant même de laisser la connexion arriver jusqu'au service applicatif. C'est comme un videur très strict à l'entrée de chaque application.
Speaker #0
D'accord, donc plusieurs briques techniques possibles pour mettre en œuvre la philosophie. Ces mécanismes semblent logiques, mais... On sent bien que tout ça, ce n'est pas simple à mettre en place. Et l'ANSI, fidèle à son pragmatisme habituel, liste d'ailleurs pas mal de risques et d'écueils. Quels sont les principaux points de vigilance selon eux ?
Speaker #1
Effectivement, l'ANSI met en garde contre plusieurs défis importants. On peut peut-être les regrouper. D'abord, il y a des risques liés à la complexité et à la fragilité opérationnelle. La centralisation des décisions d'accès dans ce fameux plan de contrôle, ça crée un point de défaillance critique s'il tombe en panne.
Speaker #0
Plus personne ne travaille.
Speaker #1
Voilà. Et comme on l'a beaucoup dit, la dépendance énorme à la qualité et à la disponibilité des attributs, c'est un risque majeur. Des données erronées ou indisponibles, et c'est tout le système qui déraille. Et puis, obtenir un score de confiance fiable, surtout basé sur le comportement, ça reste un vrai défi technique.
Speaker #0
D'accord. Complexité, fragilité, quoi d'autre ?
Speaker #1
Ensuite, il y a des enjeux liés au marché et à la standardisation. L'ensinote, et c'est important, L'écart parfois conséquent entre le concept théorique du Zero Trust et ce que proposent réellement les produits du marché estampillé Zero Trust.
Speaker #0
Le marketing.
Speaker #1
Exactement. Il faut se méfier du marketing et bien regarder sous le capot. Et le manque actuel de standards bien établis peut aussi créer une dépendance forte à un seul fournisseur, ce qu'on appelle le vendor lock-in.
Speaker #0
Oui, le risque d'être pied et poing lié à un éditeur.
Speaker #1
C'est ça. Et enfin, il y a des impacts sur les performances et les dépendances. Multiplier les contrôles continus, évaluer plein d'attributs à chaque fois, ça peut ralentir l'accès aux ressources si ce n'est pas très bien conçu et optimisé. Et même si le cloud n'est pas obligatoire en soi, il faut reconnaître qu'il facilite certaines briques technologiques du Zero Trust, comme le machine learning ou la bac à grande échelle. Ce qui peut du coup renforcer une dépendance au service cloud, avec les questions de souveraineté que ça peut poser parfois.
Speaker #0
Donc on voit bien l'équilibre délicat à trouver entre la sécurité renforcée qui est promise et cette complexité, cette fragilité potentielle des dépendances induites. Face à tous ces défis, que recommande l'ANSI pour aborder le Zero Trust de manière réaliste et efficace ? Pas le grand soir du jour au lendemain, j'imagine ?
Speaker #1
Ah non, surtout pas. L'approche PRONET est clairement progressive, pragmatique et basée sur les risques spécifiques de chaque organisation. Pas de copier-coller. L'ANSI insiste vraiment sur plusieurs étapes clés. Premièrement, bien définir ses objectifs. Qu'est-ce qu'on cherche à protéger en priorité ? Quels sont nos scénarios de risque majeurs ? Et aussi, évaluer honnêtement sa maturité actuelle. Où en est-on sur les fondamentaux de la sécurité ?
Speaker #0
Les fondamentaux ?
Speaker #1
Oui, et c'est le deuxième point, crucial. Identifier des cas d'usage précis où le Zero Trust apportera une réelle valeur ajoutée. Par exemple... Protéger l'accès distant des prestataires ou sécuriser l'accès à une application particulièrement critique. Il ne faut pas vouloir tout faire d'un coup.
Speaker #0
Commencer petit et ciblé.
Speaker #1
Ça paraît basique, mais c'est essentiel. Ça veut dire quoi ? Avoir un inventaire précis et à jour des actifs utilisateurs, appareils, applications données. Avoir une gestion des identités solides, cycle de vie des comptes, compte unique. Avoir une gestion de la conformité et de la sécurité des appareils. Une classification claire des données. Et bien sûr, définir et gérer rigoureusement les fameux attributs. Lesquels sont vraiment utiles pour nous ? Comment garantir leur fiabilité ?
Speaker #0
Sans ces bases saines ?
Speaker #1
Sans ces bases saines, construire un château Zero Trust, c'est illusoire. Ça ne tiendra pas.
Speaker #0
D'accord. Et une fois ces bases posées ?
Speaker #1
Alors, on peut construire la politique d'Axel de manière itérative. Commencer par des règles basées sur des critères de conformité simples et vérifiables. Le poste est-il à jour ? L'utilisateur a-t-il le bon rôle ? L'accès se fait-il depuis une zone géographique attendue ? Avant, éventuellement, de vouloir intégrer des scores de confiance comportementaux plus complexes, qui demandent plus de maturité et de recul.
Speaker #0
Et l'authentification ?
Speaker #1
Utiliser systématiquement une authentification forte, on l'a dit, résistante au phishing, idéalement basée sur des certificats, du MFA robuste, c'est non négociable.
Speaker #0
Et les anciennes défenses ? Le pare-feu ? La segmentation ? On jette tout ?
Speaker #1
Surtout pas. C'est un message très fort de l'ANSI, ne pas abandonner les autres couches de sécurité. La segmentation réseau, la sécurité périmétrique, les pare-feux, tout ça reste nécessaire. Le Zero Trust vient en complément, pour renforcer la défense en profondeur, pas pour la remplacer.
Speaker #0
C'est une couche de plus en fait.
Speaker #1
C'est une couche de plus et une philosophie différente mais qui s'intègre dans l'existant. Un autre point très spécifique mais important pour l'ANSI, sécuriser drastiquement les accès d'administration. Pour eux, ces accès aux privilèges élevés doivent impérativement passer par des postes de travail dédiés, durcis et distincts des postes bureautiques classiques, même dans un contexte zéro trust.
Speaker #0
Pas de BYOD pour les admins donc ?
Speaker #1
Le BYOD pour l'administration est clairement à proscrire selon l'ANSI. Trop risqué ! Et enfin, bien sûr, tester, auditer régulièrement les règles et la configuration du système zéro trust. Et ne pas oublier d'accompagner les utilisateurs. Ces contrôles peuvent être plus présents, il faut expliquer pourquoi et comment ça fonctionne.
Speaker #0
Très clair. Ce qui ressort de tout ça, c'est que le Zero Trust, ce n'est définitivement pas un produit miracle qu'on achète sur étagère.
Speaker #1
Pas du tout. C'est une stratégie de sécurité exigeante, une philosophie qui demande un investissement important en termes de processus, de technologie, mais peut-être surtout de maturité organisationnelle.
Speaker #0
Oui, la maturité est clé.
Speaker #1
Et ce n'est pas tout. pas tant zéro confiance au sens littéral et un peu anxiogène, mais plutôt une confiance conditionnelle, limitée et vérifiée en permanence. C'est plus juste, non ? C'est exactement ça. C'est une démarche au long cours, vraiment, pour adapter la sécurité aux réalités d'aujourd'hui. La mobilité, le cloud, les menaces internes qui sont aussi une réalité. L'essentiel, c'est vraiment d'être pragmatique, d'être guidé par ses propres risques et de construire sur des fondations solides. L'identité, les appareils, la segmentation. et par-dessus tout la fiabilité des informations, ces fameux attributs qui conditionnent tout le reste.
Speaker #0
Et garder un œil critique sur les discours marketing.
Speaker #1
Et bien sûr, garder un œil très critique sur les discours marketing autour du terme « zero trust » , qui est parfois utilisé à tort et à travers.
Speaker #0
Comprendre cette évolution, c'est essentiel. Qu'on soit DSI, RSSI ou même simplement utilisateur d'outils numériques dans un cadre pro ou perso, la manière dont nos accès sont gérés est en train de changer. profondément, vers plus de granularité, plus de contexte.
Speaker #1
C'est une transformation de fond.
Speaker #0
Oui.
Speaker #1
Et pour conclure peut-être, cette exploration soulève une réflexion intéressante qui est un peu en filigrane dans le document de l'ANSI, je trouve. Toute cette complexité dont on a parlé, cette dépendance critique à des données fiables, à jour, en temps réel, est-ce qu'une confiance réellement zéro, au sens absolu, est non seulement atteignable techniquement, ce qui est déjà un défi, mais est-ce qu'elle est même souhaitable ?
Speaker #0
Souhaitable.
Speaker #1
Oui, dans nos systèmes qui sont si interconnectés, si dynamiques, où se situe le juste équilibre pour une confiance gérée, une confiance minimale mais peut-être nécessaire pour que les choses fonctionnent, qui soit à la fois efficace pour la sécurité et soutenable au quotidien, pour les organisations et pour les utilisateurs qui doivent bien pouvoir travailler ?
Speaker #0
La question du curseur en somme, où placer le curseur de la confiance ?
Speaker #1
Exactement. Quel est le bon niveau de confiance minimale viable ? C'est une question qui reste ouverte, je pense, et qui mérite d'être méditée au fur et à mesure que ces approches se déploient.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Un épisode clair et utile pour les pros de l’IT, de la sécu, et toute organisation souhaitant moderniser sa cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue à cette nouvelle analyse approfondie. Aujourd'hui, on plonge dans un concept omniprésent en cybersécurité, le Zero Trust. Un terme qu'on entend vraiment partout, mais bon, qu'est-ce que ça recouvre au juste ?
Speaker #1
Oui, c'est un terme un peu fourre-tout parfois.
Speaker #0
Exactement. Alors, pour y voir plus clair, on va s'appuyer sur une source solide, les fondamentaux du modèle Zero Trust publié par l'ANSI. l'Agence nationale de la sécurité des systèmes d'information. C'est un document de juin 2025. Une perspective française, officielle et experte.
Speaker #1
Tout à fait, une référence importante.
Speaker #0
Notre mission, si on peut dire, c'est de décortiquer un peu ce modèle, comprendre pourquoi il est devenu si, si pertinent, avec l'explosion du télétravail, le fameux BYOD, l'usage des appareils personnels, et puis le cloud partout.
Speaker #1
C'est clair que le paysage a changé.
Speaker #0
Et la question ? Est-ce que c'est la solution miracle qui remplace tout ? Nancy, elle, nous dit d'emblée que non.
Speaker #1
Non, elle est prudente là-dessus. C'est plutôt un complément. Indispensable, mais un complément à la défense en profondeur classique.
Speaker #0
Voilà. Alors pourquoi s'y intéresser de près ? Parce que le Zero Trust, ça change radicalement notre façon de penser la sécurité. C'est ça le point clé.
Speaker #1
C'est un changement de paradigme, oui.
Speaker #0
Fini la confiance par défaut juste parce qu'on est dans le réseau. Chaque accès Chaque requête, paf, vérification systématique.
Speaker #1
Exactement.
Speaker #0
C'est une vraie révolution philosophique presque. Prêt à explorer ça ?
Speaker #1
Allons-y.
Speaker #0
Alors pour commencer, allons au cœur du sujet. Quel est le principe fondamental de ce Zero Trust ? Confiance zéro, ça sonne quand même un peu extrême, non ?
Speaker #1
C'est vrai que le terme est fort. Mais l'idée centrale, telle que décrite par l'ANSI, c'est pas tant de ne faire confiance à rien, mais plutôt de réduire drastiquement la confiance. implicite. On ne suppose plus qu'un utilisateur ou un appareil ou même un processus est légitime juste parce qu'il est déjà connecté au réseau de l'entreprise. Le mantra, c'est vraiment ne jamais faire confiance, toujours vérifier. A chaque fois. En pratique, ça veut dire quoi ? Ça veut dire que chaque demande d'accès à une ressource, un fichier, une appli, est évaluée individuellement. Et ça, selon le principe du moindre privilège. On ne donne accès qu'à ce qui est... strictement nécessaire pour la tâche en cours, pas plus.
Speaker #0
Le strict minimum.
Speaker #1
Et surtout, et c'est ça qui est important, cette vérification n'est pas faite une seule fois au début. Non, elle est continue ou au moins très fréquente.
Speaker #0
Ah d'accord, pas juste à la connexion initiale.
Speaker #1
Non, que la demande vienne d'un café en wifi public ou du bureau juste à côté, elle subit le même examen rigoureux. La politique d'accès, elle, elle s'ajuste dynamiquement.
Speaker #0
Dynamiquement ?
Speaker #1
Oui, en fonction du contexte. L'état de sécurité du poste utilisé, le comportement de l'utilisateur, l'heure, le lieu, tout un tas de facteurs.
Speaker #0
D'accord, donc on sort complètement de la logique du château fort. Tout ce qui est dedans est ami, tout ce qui est dehors est suspect.
Speaker #1
Exactement.
Speaker #0
Là, tout le monde est potentiellement suspect tout le temps. Mais alors, comment ça fonctionne concrètement pour prendre ces décisions d'accès qui bougent tout le temps ? Le document de l'ANSI parle du modèle ABAC, c'est ça ?
Speaker #1
Exactement. L'ABAC, c'est un des piliers techniques. Ça veut dire... Attribute-Based Access Control, donc le contrôle d'accès basé sur les attributs.
Speaker #0
Les attributs ?
Speaker #1
Voilà. Pour décider si Alice peut accéder au dossier Projet X depuis son PC portable à 14 heures, le système ne regarde pas juste si Alice a le droit en général. Non. Il va évaluer toute une série d'attributs. Des attributs sur le sujet, donc Alice, son rôle, ses habilitations, peut-être même un score de risque basé sur son comportement récent.
Speaker #0
Ah oui ?
Speaker #1
Oui. Des attributs sur la ressource, le dossier, son niveau de sensibilité, à quel projet il appartient, et puis des attributs sur le contexte, l'heure, la localisation bien sûr, mais surtout l'état de sécurité de son PC. Est-il à jour ? L'antivirus est actif ? Est-il détecté comme compromis ?
Speaker #0
Le niveau de menace globale aussi peut-être ?
Speaker #1
Exactement, le niveau de menace détecté sur le réseau à cet instant T. Tout ça entre en jeu.
Speaker #0
C'est complexe.
Speaker #1
Oui. Et elle ainsi décrit une architecture type pour orchestrer tout ça. On trouve souvent un cerveau, le Policy Decision Point, PDP, qui prend la décision, des informateurs, les Policy Information Point, PIP, qui lui fournissent tous ses attributs à jour, et enfin des gardiens, les Policy Enforcement Point, PEP, qui appliquent la décision sur le terrain. C'est eux qui bloquent ou autorisent la connexion, par exemple.
Speaker #0
D'accord, PDP, PIP, PEP.
Speaker #1
Et tout ça sépare bien la logique du décision, ça c'est le plan de contrôle, du trafic réel des utilisateurs, le plan de données.
Speaker #0
Ces attributs donc, ils sont vraiment au centre de tout. Mélenchon insiste beaucoup, vous l'avez dit, sur leurs contraintes. Pertinent, à jour, fiable, disponible, authentique. Ça semble être à la fois la force et peut-être le point faible du système, non ?
Speaker #1
C'est tout à fait ça. C'est un défi majeur et un point de vigilance constant. La robustesse de toute l'approche Zero Trust, elle repose entièrement sur la qualité de ses attributs.
Speaker #0
Logique.
Speaker #1
Imaginez, si l'attribut « état de mise et jour de l'antivirus » est obsolète, ou pire, faux, la décision d'accès sera faussée. C'est direct. Si l'attribut vient d'un outil de détection de menaces, un EDR sur le poste ou un CM qui analyse les logs, il faut que cet outil soit fiable.
Speaker #0
Oui, parce qu'un faux positif...
Speaker #1
Exactement. Un faux positif... une menace détectée à tort et hop, vous bloquez un utilisateur légitime qui ne peut plus travailler. Frustrant et contre-productif.
Speaker #0
Et un faux négatif ?
Speaker #1
C'est Pierre. Une menace réelle non détectée. Et l'attaquant passe à travers les mailles du filet, même avec le Zero Trust. Donc, gérer ce capital confiance dans les attributs, ça demande des processus, des outils très très solides.
Speaker #0
D'accord. La fiabilité des attributs, c'est vraiment clé. Maintenant, pour alimenter ce système et le faire fonctionner au quotidien, le document détaille plusieurs fonctions essentielles. Commençons peut-être par la gestion des identités. Ça semble être la base de la base, non ?
Speaker #1
C'est fondamental. Bon, ce n'est pas nouveau avec le Zero Trust, soyons clairs, mais ça devient encore plus critique. L'ANSI est très ferme là-dessus. Il faut une maîtrise parfaite de qui est qui et quoi est quoi dans le système d'information. Les utilisateurs, bien sûr, mais aussi les services, les applications, les appareils. Tout doit avoir une identité claire et gérée.
Speaker #0
Et l'authentification ? J'imagine qu'un simple mot de passe ne suffit plus ?
Speaker #1
Ah non, certainement pas. Une authentification forte est indispensable. Typiquement, on parle de MFA, Multi-Facteur Authentification, c'est-à-dire combiner plusieurs preuves d'identité. Quelque chose que vous savez, mot de passe, quelque chose que vous possédez, code sur mobile, clé physique, quelque chose que vous êtes, biométrie.
Speaker #0
D'accord.
Speaker #1
Et le document va même plus loin. Il évoque l'authentification continue ou périodique. Pour vérifier que la session n'a pas été détournée en cours de route.
Speaker #0
Comment ça, détournée ?
Speaker #1
Par un vol de cookies de session, par exemple. Un attaquant récupère votre ticket d'entrée et se fait passer pour vous. L'authentification continue vise à détecter ça.
Speaker #0
Malin.
Speaker #1
LNC cite des standards comme FIDO2, qui permettent une authentification sans mot de passe et très résistante au phishing, ou le stockage sécurisé des secrets dans des HSM. Des bonnes pratiques à renforcer.
Speaker #0
Très bien. Et l'autre, c'est la gestion des appareils. Surtout avec ce fameux B.I.O.D. que l'ANSI mentionne comme un facteur déclencheur. On ne peut pas faire confiance à l'utilisateur sans vérifier l'appareil qu'il utilise, j'imagine. C'est lié.
Speaker #1
C'est exactement ça. C'est l'autre face de la même pièce. On doit pouvoir évaluer le niveau de confiance qu'on peut accorder à l'équipement qui tente de se connecter. Est-ce qu'il est géré par l'entreprise ? Est-il à jour ? Est-ce que sa configuration est sécurisée, durcie, comme on dit ? Et surtout, n'est-il pas déjà infecté par un malware ?
Speaker #0
Et comment on vérifie tout ça ?
Speaker #1
Alors ? On s'appuie sur différents mécanismes. Le Secure Boot, par exemple, qui vérifie l'intégrité du démarrage de la machine, le contrôle des applications installées et de plus en plus la détection d'activités suspectes par un agent EDR, ce Endpoint Detection and Response qui tourne sur le poste.
Speaker #0
Et pour le BYOD, les appareils personnels ?
Speaker #1
Alors là, l'ANSI est très pragmatique. La confiance qu'on peut accorder à un appareil personnel qui n'est pas maîtrisé par l'organisation. est par nature limitée, très limitée.
Speaker #0
Même si on installe des suites ici-dessus ?
Speaker #1
Même avec des agents installés pour améliorer la visibilité, le niveau de contrôle ne sera jamais le même que sur un poste fourni et géré par l'entreprise. C'est un vrai casse-tête, le BYOD, dans une approche Zero Trust Strict.
Speaker #0
Je comprends. Un autre élément qui semble très important, c'est le rôle de la détection de la menace pour ajuster la confiance en temps réel. Vous l'avez évoqué.
Speaker #1
Oui. C'est là où le Zero Trust devient vraiment dynamique et intelligent, si on peut dire. L'idée, c'est de pouvoir détecter au plus tôt les signes d'une compromission. Un compte utilisateur qui a été piraté, un poste qui est infecté, pour pouvoir réagir immédiatement.
Speaker #0
Réagir comment ?
Speaker #1
En réduisant ou en réévoquant les accès de cet utilisateur ou de ce poste. Très vite, pour contenir l'attaque.
Speaker #0
Et ça passe par quoi, cette détection ?
Speaker #1
Pour ça, il faut collecter et analyser en continu les événements de sécurité. Souvent vient un SIEM qui centralise les logs de partout. On utilise des techniques classiques, comme la détection par signature, ça c'est pour les menaces déjà connues, mais aussi, et c'est là que ça devient plus complexe,
Speaker #0
le comportemental.
Speaker #1
Oui, l'analyse comportementale. pour repérer des anomalies, des actions suspectes qui sortent de l'ordinaire pour cet utilisateur ou ce poste. Souvent, on utilise des algos de machine learning pour ça.
Speaker #0
Le fameux machine learning.
Speaker #1
Oui, mais l'insim est en garde. Attention, cette analyse comportementale, c'est difficile à mettre en œuvre correctement et surtout à fiabiliser. Obtenir un score de confiance comportemental qui soit juste, sans trop d'erreurs, les faux positifs et les faux négatifs dont on parlait, ça demande beaucoup de données, des réglages très fins. et une certaine maturité technique.
Speaker #0
Donc la promesse de l'IA qui devine les intentions malveillantes, d'après l'ANSI, il faut rester prudent sur le terrain.
Speaker #1
Exactement. L'ANSI souligne le potentiel, bien sûr, mais aussi la complexité et les risques d'erreur. Il ne faut pas croire que ces outils sont magiques et résolvent tout d'un coup de baguette. La fiabilité dépend énormément de la qualité des données d'entrée et de la finesse de la configuration.
Speaker #0
Bien noté. Maintenant, plus concrètement, pour protéger l'accès aux ressources elles-mêmes, Quels sont les mécanismes techniques qu'on associe souvent au Zero Trust ? Le document mentionne le SDP par exemple.
Speaker #1
Oui, le SDP ou Software Defined Perimeter, c'est une bonne illustration. On peut le voir comme une sorte de VPN nouvelle génération, très ciblé.
Speaker #0
C'est-à-dire ?
Speaker #1
Au lieu d'ouvrir un accès large au réseau une fois qu'on est connecté, comme un VPN classique, le SDP établit un tunnel sécurisé et direct entre l'utilisateur qui a été vérifié et la ressource spécifique qu'il demande. Mais, et c'est crucial, seulement après que le plan de contrôle, le cerveau, a validé l'identité et le contexte selon la politique Zero Trust.
Speaker #0
Et si on n'est pas autorisé ?
Speaker #1
Si on n'est pas autorisé, la ressource n'est même pas visible sur le réseau. Elle n'existe pas, en quelque sorte. C'est le principe du Dark Network. On cache ce à quoi on n'a pas accès.
Speaker #0
Malin aussi ! D'autres approches, Evelyne ?
Speaker #1
Oui, il y a d'autres approches. On peut utiliser le cloisonnement réseau plus classique avec des VLAN ou de la micro-segmentation, mais en le pilotant dynamiquement par les décisions Zero Trust. L'accès réseau s'ouvre et se ferme à la demande, en fonction des attributs. Et puis, il y a aussi beaucoup l'utilisation de proxy et de reverse proxy Zero Trust.
Speaker #0
Des proxys ?
Speaker #1
Oui, ce sont des équipements qui filtrent le trafic. Ils agissent comme des points de contrôle obligatoires, soit devant les applications, soit pour l'accès Internet. Un proxy Zero Trust pour les flux sortants, par exemple, va vérifier l'identité et le contexte avant de laisser un utilisateur naviguer sur le web. Un reverse proxy Zero Trust, lui, il protège les serveurs internes. Il exige une authentification forte et une validation du contexte avant même de laisser la connexion arriver jusqu'au service applicatif. C'est comme un videur très strict à l'entrée de chaque application.
Speaker #0
D'accord, donc plusieurs briques techniques possibles pour mettre en œuvre la philosophie. Ces mécanismes semblent logiques, mais... On sent bien que tout ça, ce n'est pas simple à mettre en place. Et l'ANSI, fidèle à son pragmatisme habituel, liste d'ailleurs pas mal de risques et d'écueils. Quels sont les principaux points de vigilance selon eux ?
Speaker #1
Effectivement, l'ANSI met en garde contre plusieurs défis importants. On peut peut-être les regrouper. D'abord, il y a des risques liés à la complexité et à la fragilité opérationnelle. La centralisation des décisions d'accès dans ce fameux plan de contrôle, ça crée un point de défaillance critique s'il tombe en panne.
Speaker #0
Plus personne ne travaille.
Speaker #1
Voilà. Et comme on l'a beaucoup dit, la dépendance énorme à la qualité et à la disponibilité des attributs, c'est un risque majeur. Des données erronées ou indisponibles, et c'est tout le système qui déraille. Et puis, obtenir un score de confiance fiable, surtout basé sur le comportement, ça reste un vrai défi technique.
Speaker #0
D'accord. Complexité, fragilité, quoi d'autre ?
Speaker #1
Ensuite, il y a des enjeux liés au marché et à la standardisation. L'ensinote, et c'est important, L'écart parfois conséquent entre le concept théorique du Zero Trust et ce que proposent réellement les produits du marché estampillé Zero Trust.
Speaker #0
Le marketing.
Speaker #1
Exactement. Il faut se méfier du marketing et bien regarder sous le capot. Et le manque actuel de standards bien établis peut aussi créer une dépendance forte à un seul fournisseur, ce qu'on appelle le vendor lock-in.
Speaker #0
Oui, le risque d'être pied et poing lié à un éditeur.
Speaker #1
C'est ça. Et enfin, il y a des impacts sur les performances et les dépendances. Multiplier les contrôles continus, évaluer plein d'attributs à chaque fois, ça peut ralentir l'accès aux ressources si ce n'est pas très bien conçu et optimisé. Et même si le cloud n'est pas obligatoire en soi, il faut reconnaître qu'il facilite certaines briques technologiques du Zero Trust, comme le machine learning ou la bac à grande échelle. Ce qui peut du coup renforcer une dépendance au service cloud, avec les questions de souveraineté que ça peut poser parfois.
Speaker #0
Donc on voit bien l'équilibre délicat à trouver entre la sécurité renforcée qui est promise et cette complexité, cette fragilité potentielle des dépendances induites. Face à tous ces défis, que recommande l'ANSI pour aborder le Zero Trust de manière réaliste et efficace ? Pas le grand soir du jour au lendemain, j'imagine ?
Speaker #1
Ah non, surtout pas. L'approche PRONET est clairement progressive, pragmatique et basée sur les risques spécifiques de chaque organisation. Pas de copier-coller. L'ANSI insiste vraiment sur plusieurs étapes clés. Premièrement, bien définir ses objectifs. Qu'est-ce qu'on cherche à protéger en priorité ? Quels sont nos scénarios de risque majeurs ? Et aussi, évaluer honnêtement sa maturité actuelle. Où en est-on sur les fondamentaux de la sécurité ?
Speaker #0
Les fondamentaux ?
Speaker #1
Oui, et c'est le deuxième point, crucial. Identifier des cas d'usage précis où le Zero Trust apportera une réelle valeur ajoutée. Par exemple... Protéger l'accès distant des prestataires ou sécuriser l'accès à une application particulièrement critique. Il ne faut pas vouloir tout faire d'un coup.
Speaker #0
Commencer petit et ciblé.
Speaker #1
Ça paraît basique, mais c'est essentiel. Ça veut dire quoi ? Avoir un inventaire précis et à jour des actifs utilisateurs, appareils, applications données. Avoir une gestion des identités solides, cycle de vie des comptes, compte unique. Avoir une gestion de la conformité et de la sécurité des appareils. Une classification claire des données. Et bien sûr, définir et gérer rigoureusement les fameux attributs. Lesquels sont vraiment utiles pour nous ? Comment garantir leur fiabilité ?
Speaker #0
Sans ces bases saines ?
Speaker #1
Sans ces bases saines, construire un château Zero Trust, c'est illusoire. Ça ne tiendra pas.
Speaker #0
D'accord. Et une fois ces bases posées ?
Speaker #1
Alors, on peut construire la politique d'Axel de manière itérative. Commencer par des règles basées sur des critères de conformité simples et vérifiables. Le poste est-il à jour ? L'utilisateur a-t-il le bon rôle ? L'accès se fait-il depuis une zone géographique attendue ? Avant, éventuellement, de vouloir intégrer des scores de confiance comportementaux plus complexes, qui demandent plus de maturité et de recul.
Speaker #0
Et l'authentification ?
Speaker #1
Utiliser systématiquement une authentification forte, on l'a dit, résistante au phishing, idéalement basée sur des certificats, du MFA robuste, c'est non négociable.
Speaker #0
Et les anciennes défenses ? Le pare-feu ? La segmentation ? On jette tout ?
Speaker #1
Surtout pas. C'est un message très fort de l'ANSI, ne pas abandonner les autres couches de sécurité. La segmentation réseau, la sécurité périmétrique, les pare-feux, tout ça reste nécessaire. Le Zero Trust vient en complément, pour renforcer la défense en profondeur, pas pour la remplacer.
Speaker #0
C'est une couche de plus en fait.
Speaker #1
C'est une couche de plus et une philosophie différente mais qui s'intègre dans l'existant. Un autre point très spécifique mais important pour l'ANSI, sécuriser drastiquement les accès d'administration. Pour eux, ces accès aux privilèges élevés doivent impérativement passer par des postes de travail dédiés, durcis et distincts des postes bureautiques classiques, même dans un contexte zéro trust.
Speaker #0
Pas de BYOD pour les admins donc ?
Speaker #1
Le BYOD pour l'administration est clairement à proscrire selon l'ANSI. Trop risqué ! Et enfin, bien sûr, tester, auditer régulièrement les règles et la configuration du système zéro trust. Et ne pas oublier d'accompagner les utilisateurs. Ces contrôles peuvent être plus présents, il faut expliquer pourquoi et comment ça fonctionne.
Speaker #0
Très clair. Ce qui ressort de tout ça, c'est que le Zero Trust, ce n'est définitivement pas un produit miracle qu'on achète sur étagère.
Speaker #1
Pas du tout. C'est une stratégie de sécurité exigeante, une philosophie qui demande un investissement important en termes de processus, de technologie, mais peut-être surtout de maturité organisationnelle.
Speaker #0
Oui, la maturité est clé.
Speaker #1
Et ce n'est pas tout. pas tant zéro confiance au sens littéral et un peu anxiogène, mais plutôt une confiance conditionnelle, limitée et vérifiée en permanence. C'est plus juste, non ? C'est exactement ça. C'est une démarche au long cours, vraiment, pour adapter la sécurité aux réalités d'aujourd'hui. La mobilité, le cloud, les menaces internes qui sont aussi une réalité. L'essentiel, c'est vraiment d'être pragmatique, d'être guidé par ses propres risques et de construire sur des fondations solides. L'identité, les appareils, la segmentation. et par-dessus tout la fiabilité des informations, ces fameux attributs qui conditionnent tout le reste.
Speaker #0
Et garder un œil critique sur les discours marketing.
Speaker #1
Et bien sûr, garder un œil très critique sur les discours marketing autour du terme « zero trust » , qui est parfois utilisé à tort et à travers.
Speaker #0
Comprendre cette évolution, c'est essentiel. Qu'on soit DSI, RSSI ou même simplement utilisateur d'outils numériques dans un cadre pro ou perso, la manière dont nos accès sont gérés est en train de changer. profondément, vers plus de granularité, plus de contexte.
Speaker #1
C'est une transformation de fond.
Speaker #0
Oui.
Speaker #1
Et pour conclure peut-être, cette exploration soulève une réflexion intéressante qui est un peu en filigrane dans le document de l'ANSI, je trouve. Toute cette complexité dont on a parlé, cette dépendance critique à des données fiables, à jour, en temps réel, est-ce qu'une confiance réellement zéro, au sens absolu, est non seulement atteignable techniquement, ce qui est déjà un défi, mais est-ce qu'elle est même souhaitable ?
Speaker #0
Souhaitable.
Speaker #1
Oui, dans nos systèmes qui sont si interconnectés, si dynamiques, où se situe le juste équilibre pour une confiance gérée, une confiance minimale mais peut-être nécessaire pour que les choses fonctionnent, qui soit à la fois efficace pour la sécurité et soutenable au quotidien, pour les organisations et pour les utilisateurs qui doivent bien pouvoir travailler ?
Speaker #0
La question du curseur en somme, où placer le curseur de la confiance ?
Speaker #1
Exactement. Quel est le bon niveau de confiance minimale viable ? C'est une question qui reste ouverte, je pense, et qui mérite d'être méditée au fur et à mesure que ces approches se déploient.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Cyber Claire

🚀 Maîtrisez vos obligations sans effort, restez en conformité et anticipez les évolutions réglementaires.
🎧 Écoutez la conformité, boostez votre cybersécurité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed