Zero Trust et l’informatique confidentielle

Aride, froidement technique, mais nécessaire dans un contexte de guerre numérique larvée

Une transformation profonde de la sécurité numérique

L’informatique confidentielle et le modèle Zero Trust constituent aujourd’hui les piliers majeurs de la cybersécurité moderne.

En effet, la montée en puissance de ces deux concepts répond à une réalité qui n’est plus contestable : les modèles périmétriques classiques ne suffisent plus dans un monde où les données circulent entre cloud, Edge, terminaux personnels, smartphones, automobiles, réseaux sociaux et infrastructures hybrides, notamment.

Ensemble, ces deux approches redéfinissent la manière dont les organisations protègent leurs actifs numériques critiques, ce qui ne va pas sans mal, tant la cybersécurité est le parent pauvre des investissements informatiques, voire des investissements tout courts.

Origines et évolution du Zero Trust : les limites du modèle périmétrique

Depuis le début des années 1980, la sécurité informatique repose sur un principe simple :

construire un périmètre fort (firewalls, VLAN, DMZ, segmentation réseau) et considérer que tout ce qui se trouve à l’intérieur est plus ou moins digne de confiance.

C’est un peu une transposition de la cellule familiale traditionnelle, ou celle d’un clan, appliquée à une entreprise ou une organisation.

Premières remises en question

En 2004, le Jericho Forum, devenu depuis le Security Forum off industriel consortium, introduit le concept de « dépérimétrisation » :

« Les utilisateurs et les applications quittent de plus en plus souvent le réseau interne, en emportant leurs données avec eux, voire leurs droits d’accès, rendant obsolète la notion de périmètre de sécurité informatique unique. »

Bien sûr, en vingt années, le problème n’a fait que croitre !

Naissance du Zero Trust moderne

En 2010, John Kindervag (Forrester Research) formalise le « modèle Zero Trust » :

  • Ne jamais faire confiance

  • Toujours vérifier

  • Appliquer une segmentation fine des sessions et des identités.

Google accélère la transition en 2009–2014 avec BeyondCorp, une architecture interne qui supprime le VPN et repose essentiellement sur l’identité et le contexte pour autoriser l’accès.

Ainsi, un directeur de la comptabilité qui sollicitera l’accès, avec les identifiants corrects, vers un serveur d’entreprise depuis un terminal jamais utilisé, au beau milieu de la nuit, et dans une région inhabituelle, déclenchera une vérification complémentaire, voire un blocage immédiat.

Standardisation et adoption

En 2020, le NIST publie la norme SP 800 207, premier cadre officiel définissant l’architecture Zero Trust (ZTA).

Les agences nationales américaines (ANSSI, NCSC) recommandent désormais Zero Trust pour tout nouveau déploiement cloud ou hybride, ce qui est un bon début.

Et techniquement ? L’identité comme nouveau périmètre

Chaque utilisateur, appareil, service ou API doit être identifié, authentifié et autorisé en continu par un processus interne fiable. C’est court, simple, précis, mais cela nécessite une infrastructure logicielle dédiée complexe.

Micro segmentation

De plus, les accès sont limités à la ressource informatique strictement nécessaire pour un usage donné, en fonction de l’identification précédente.

Cela réduit drastiquement les mouvements latéraux en cas de compromission, modus operandi classiques de nombreuses cyberattaques.

Vérification continue

Chaque transaction est évaluée selon :