L’évolution de la confiance zéro vers une sécurité axée sur l’identité
La confiance zéro a largement dépassé son objectif initial de protection du périmètre du réseau. À ses débuts, l’objectif était simple : bloquer les accès non autorisés et limiter les mouvements internes. Aujourd’hui, cette approche est dépassée. Les opérations commerciales s’étendent désormais sur des environnements hybrides, le cloud et des systèmes basés sur le Cloud où les périmètres statiques n’existent plus. Le véritable périmètre est l’identité.
Aujourd’hui, la sécurité dépend de la vérification de la personne ou de l’objet qui accède aux systèmes et de ce qu’elle fait après l’authentification. Cela signifie une vérification constante, et non des contrôles ponctuels. Les interactions de machine à machine, les API, les appareils IoT et les agents d’intelligence artificielle étant plus nombreux que les utilisateurs humains, l’accent est mis sur la validation continue de toutes les identités.
Les entreprises sont conscientes de cette importance, mais il subsiste un important déficit d’exécution. Selon les données du secteur, 82 % des organisations considèrent l’accès universel au réseau sans confiance (ZTNA) comme essentiel à leur stratégie de sécurité, mais seulement 17 % d’entre elles l’ont pleinement mis en œuvre. Cela montre que beaucoup d’entre elles ont encore des problèmes d’échelle et de cohérence.
Pour les dirigeants, il ne s’agit pas d’un détail technique, mais d’une préoccupation fondamentale. Les défaillances de sécurité liées aux lacunes en matière d’identité peuvent perturber la continuité des activités et nuire à la confiance. La mise à l’échelle de la confiance zéro par le biais d’une conception axée sur l’identité est désormais une exigence pour une résilience durable, en particulier à mesure que l’IA transforme la façon dont les systèmes et les utilisateurs interagissent.
La confiance zéro 2.0 équivaut à la résilience de l’identité
Zero Trust 2.0 n’est pas un nouveau concept, c’est une compréhension évoluée des mêmes principes qui ont défini le cadre original. Les principes fondamentaux demeurent : ne jamais faire confiance par défaut et toujours vérifier. Ce qui est différent aujourd’hui, c’est la focalisation. Il s’agit de faire de l’identité un système vivant et résilient qui s’adapte aux changements constants.
John Kindervag, qui a créé le modèle de confiance zéro, souligne que la technologie doit venir après la clarté stratégique. Les dirigeants doivent d’abord décider pourquoi ils ont besoin de la confiance zéro. ont besoin de la confiance zéro et quels sont les risques commerciaux qu’ils souhaitent gérer. L’achat de nouveaux outils sans objectif précis ne renforce pas la sécurité, mais la complexité.
Kapil Bakshi, de l’Office of the CTO de Cisco, ajoute que Zero Trust n’est plus seulement un projet de cybersécurité ; c’est un fondement de la transformation numérique. Il soutient la façon dont les organisations effectuent la transition vers les plateformes cloud, gèrent l’automatisation basée sur l’IA et protègent les données distribuées. La résilience de l’identité garantit que les organisations peuvent innover sans augmenter leurs risques.
Pour les dirigeants, il s’agit d’une question d’alignement stratégique. La résilience de l’identité est directement liée à l’évolutivité de l’entreprise. Lorsque les entreprises gèrent et vérifient les identités de manière dynamique entre les utilisateurs, les appareils et les systèmes, elles développent la force opérationnelle nécessaire pour gérer la croissance rapide et les nouvelles technologies en toute sécurité.
La confiance zéro 2.0 exige une réflexion à long terme, la mise en place de processus qui s’adaptent, et non de politiques qui stagnent. L’objectif n’est pas de faire de la sécurité de l’identité un point de contrôle, mais un état continu qui permet à l’entreprise d’aller plus vite tout en gardant le contrôle.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
Validation continue de l’identité par rapport à l’authentification statique
Le modèle traditionnel « authentifier une fois et accorder l’accès » n’est plus efficace. Les acteurs de la menace se sont adaptés plus rapidement que les contrôles de sécurité qui reposent sur une vérification unique. Une fois qu’un attaquant a compromis des informations d’identification valides, il peut se déplacer librement dans les systèmes d’une organisation, souvent sans être détecté. Zero Trust 2.0 comble cette lacune grâce à la validation continue de l’identité. Elle ne s’arrête pas à l’authentification, mais étend la vérification à l’ensemble de la session de l’utilisateur.
John Kindervag souligne que la plupart des organisations prennent encore des décisions en matière d’accès sur la base d’un seul point de données isolé. Ce point de données ne tient pas compte de l’ensemble du contexte nécessaire pour déterminer la confiance. La confiance zéro moderne exige une surveillance comportementale continue, afin d’évaluer si les actions de l’identité restent conformes à ce qui est attendu.
Kapil Bakshi souligne que l’identité fonctionne désormais à grande échelle. Dans les environnements cloud, les identités non humaines sont 10 fois plus nombreuses que les identités humaines. Les API, les scripts d’automatisation et les comptes de service interagissent en permanence, créant des points d’entrée potentiels pour les attaquants. Cette réalité exige une surveillance automatisée et pilotée par l’IA, capable de vérifier en continu et à grande vitesse ces interactions entre machines.
Les dirigeants doivent considérer qu’il ne s’agit pas seulement d’un ajustement technique, mais d’une exigence structurelle. La confiance doit évoluer en même temps que les comportements. La validation continue réduit le risque d’utilisation abusive des informations d’identification et limite le temps d’exposition en cas de violation. Pour les équipes dirigeantes, cela signifie qu’il faut s’assurer que chaque session active, humaine ou non humaine, fonctionne avec une légitimité vérifiée tout au long de son cycle de vie.
La fragmentation des politiques est la principale source de vulnérabilité
La plupart des failles de sécurité ne sont pas dues à une mauvaise technologie, mais à une mauvaise politique. La confiance zéro échoue lorsque les règles sont incohérentes d’un système à l’autre, ce qui crée des portes dérobées invisibles que les attaquants peuvent exploiter. John Kindervag affirme que 100 % des cyberattaques réussies sont dues à de mauvaises décisions politiques, et non à des contrôles défaillants ou à des limitations technologiques.
Il se souvient d’une banque mondiale qui maintenait une règle de pare-feu « tout autoriser », ce qui neutralisait en fait toutes les mesures de sécurité en place. Le problème n’était pas le pare-feu, mais la négligence humaine et le manque de gouvernance. Une conception incohérente ou incomplète des politiques permet aux lacunes de sécurité de persister sans que personne ne s’en rende compte.
Kapil Bakshi souligne que la fragmentation des politiques est devenue la norme. Les organisations maintiennent des politiques distinctes pour le cloud, les centres de données, le SaaS et les succursales, chacune étant régie par des équipes et des systèmes différents. Ce manque de cohésion empêche l’application de principes de sécurité uniformes. Il est nécessaire de passer à une gestion universelle des politiques, cohérente, contextuelle et centralisée.
Pour les dirigeants, il s’agit d’une priorité en matière de gouvernance et de risque. Des politiques fragmentées reflètent une responsabilité fragmentée. La rationalisation de la structure des politiques réduit les surfaces d’attaque, simplifie la conformité et renforce la confiance au sein de l’entreprise. L’unification ne signifie pas la simplification à un seul ensemble de règles ; elle signifie que chaque environnement fonctionne selon les mêmes principes et la même discipline d’application.
Une stratégie de confiance zéro bien exécutée dépend de la cohérence. Sans une gouvernance politique consolidée, même les meilleurs outils et contrôles ne parviendront pas à produire des résultats sûrs.
Les frictions avec l’utilisateur doivent être étudiées
Réduire les frictions avec les utilisateurs affaiblit complètement la sécurité. La confiance zéro 2.0 exige que les frictions soient planifiées, contrôlées et utilisées délibérément pour maintenir la protection sans frustrer les utilisateurs. L’objectif n’est pas la friction zéro, mais la friction intelligente. Kapil Bakshi établit clairement cette distinction. Il explique que les organisations dépendent souvent d’une friction active, telle que des invites de mot de passe et des contrôles MFA répétés, au lieu d’utiliser une vérification passive par le biais de la posture de l’appareil, de l’analyse comportementale et de la biométrie. Les contrôles passifs fonctionnent silencieusement, n’intervenant que lorsqu’une anomalie apparaît.
Lorsque les messages de sécurité deviennent constants, les utilisateurs tentent de les contourner, ce qui accroît les risques. Bakshi et Nelson Moe soulignent l’importance de concevoir une friction qui respecte l’attention de l’utilisateur et la continuité de l’activité. Les contrôles doivent s’adapter au contexte : les transactions à haut risque doivent déclencher une vérification visible, tandis que les actions courantes doivent se dérouler sans interruptions inutiles.
Pour les dirigeants, la conception stratégique consiste à trouver un équilibre entre la productivité et la protection. Une friction élevée dans les zones à faible risque ralentit les opérations et réduit la confiance dans les équipes de sécurité. À l’inverse, la suppression totale des frictions invite à l’exploitation. En concevant les frictions en fonction des niveaux de risque réels, les organisations peuvent maintenir la confiance, assurer la conformité et conserver l’efficacité de leurs opérations.
La conception intentionnelle de la friction révèle également la maturité de la mise en œuvre de la confiance zéro au sein d’une organisation. Les équipes matures mesurent l’impact de la friction, l’ajustent en fonction des données et la traitent comme un paramètre de conception de la sécurité, et non comme un inconvénient.
La cartographie des flux d’activité est essentielle à la mise en œuvre
Avant de pouvoir appliquer efficacement les politiques de confiance zéro, les dirigeants doivent comprendre comment les informations, les processus et les utilisateurs se déplacent au sein de leur organisation. Nelson Moe et John Kindervag ont tous deux souligné qu’il s’agissait d’une condition préalable. Lorsque les flux d’activités ne sont pas cartographiés, les frictions ont tendance à apparaître de manière imprévisible, l’accès est bloqué là où il ne devrait pas l’être, ou les utilisateurs subissent des vérifications inutiles qui leur font perdre du temps.
La cartographie des flux permet aux équipes de voir précisément où se produisent les interactions et comment les systèmes sont reliés les uns aux autres. Ce contexte permet de déterminer clairement le niveau de contrôle adéquat pour chaque processus, ce qui minimise les perturbations et réduit la probabilité de lacunes en matière de sécurité. Cela permet également d’éviter l’erreur commune d’appliquer des politiques universelles qui ne correspondent pas au fonctionnement réel de l’organisation.
Pour les décideurs, la compréhension de ces flux n’est pas facultative, elle favorise à la fois l’efficacité et la résilience. Lorsque les dirigeants investissent dans la cartographie des flux de travail avant d’appliquer la confiance zéro, ils obtiennent un plan clair pour savoir où donner la priorité aux mesures de sécurité et comment maintenir les opérations dans le cadre de modèles de vérification plus complexes.
Kindervag a souligné que les frictions sont souvent le signe d’un manque de contexte. Si les équipes ne sont pas en mesure d’identifier les raisons de certaines perturbations, cela signifie généralement qu’elles n’ont pas réussi à cartographier avec précision les flux transactionnels. Moe ajoute que ce processus de cartographie nécessite également la contribution des utilisateurs finaux et des dirigeants d’entreprise. L’implication précoce des départements garantit que les politiques reflètent l’utilisation réelle plutôt que des hypothèses, réduisant ainsi les conflits entre la productivité et la sécurité.
Pour les dirigeants, l’essentiel est de rendre des comptes. Un programme de confiance zéro fondé sur des hypothèses non vérifiées concernant les activités de l’entreprise finit par rencontrer des obstacles. La cartographie des flux garantit que les politiques d’identité interagissent harmonieusement avec les processus quotidiens de l’organisation, renforçant ainsi à la fois la protection et les performances.
La gestion du chiffre d’affaires révèle une maturité de confiance nulle
La façon dont une organisation gère la rotation des employés et des sous-traitants est un véritable indicateur de sa maturité en matière de confiance zéro. Lorsque des personnes partent, leur accès doit être révoqué instantanément, sans délai manuel, sans surveillance et sans exception. Kapil Bakshi insiste sur le fait que ce processus doit être entièrement automatisé et intégré aux systèmes de ressources humaines. S’il ne l’est pas, les comptes inactifs ou oubliés peuvent rester ouverts pendant des mois, voire des années, offrant ainsi aux pirates la possibilité d’exploiter les informations d’identification dormantes.
John Kindervag a fait part d’un cas dans lequel un ancien employé a conservé un accès au réseau pendant plus de trois ans parce que personne n’avait désactivé le compte. Cet exemple montre que même les organisations dotées d’une technologie avancée peuvent encore échouer sur le plan opérationnel si la discipline structurelle fait défaut. L’automatisation élimine ces points faibles en reliant directement les systèmes d’identité aux données du personnel.
Les dirigeants doivent considérer le contrôle du chiffre d’affaires comme une question de gestion des risques, et non comme une simple procédure de ressources humaines. L’automatisation du cycle de vie des identités, de l’intégration au déprovisionnement, réduit les risques de menaces internes et d’accès non autorisés. Elle permet également de maintenir la responsabilité, en s’assurant que chaque identifiant actif est justifié et fait l’objet d’un contrôle continu.
La maturité de la confiance zéro est mesurée par la façon dont les systèmes d’identité s’adaptent au changement. Les équipes qui s’appuient sur l’intégration manuelle ne respectent pas le principe fondamental de la validation continue. Lorsque les identités sont régulièrement vérifiées et que les privilèges périmés sont supprimés, les organisations renforcent leur surface de défense et réduisent le risque opérationnel lié à l’erreur humaine.
L’extension de la confiance zéro exige une discipline opérationnelle
La réussite de la mise à l’échelle de la confiance zéro dépend de la cohérence et de la discipline opérationnelles, et non de l’achat d’outils supplémentaires. Chaque décision, des contrôles d’authentification à l’application des politiques, doit s’aligner sur un processus structuré qui peut s’adapter à tous les environnements. L’objectif est de faire de la Zero Trust une partie intégrante des opérations qui évolue en même temps que l’entreprise.
John Kindervag insiste sur la nécessité de commencer par la clarté. Avant de mettre en œuvre une technologie, les organisations doivent définir exactement ce qu’elles protègent et pourquoi. Sans cette clarté, les efforts de mise à l’échelle ne sont pas ciblés. Une fois les priorités établies, les équipes peuvent appliquer des politiques unifiées et une validation continue qui couvrent les infrastructures cloud, sur site et hybrides.
Pour les dirigeants, cela signifie que la discipline opérationnelle doit s’étendre au-delà des départements informatiques. Elle nécessite une collaboration entre les responsables de la sécurité, de la conformité, des opérations et de l’entreprise. Le même ensemble de principes doit régir tous les environnements, avec des objectifs mesurables liés à la résilience et à la performance. Zero Trust 2.0 transforme la gouvernance des identités d’une fonction de sécurité en un catalyseur d’activité.
La réussite de l’extension dépend également de la capacité à réduire le bruit grâce à l’automatisation et à des processus définis. Les interventions manuelles créent des lacunes et ralentissent la mise en œuvre. Un environnement discipliné remplace l’improvisation par des routines reproductibles, ce que la direction doit soutenir activement.
Les dirigeants qui adoptent la confiance zéro 2.0 doivent se concentrer sur la continuité, la cohérence et les résultats mesurables. Les organisations qui s’adaptent efficacement sont celles qui considèrent la confiance zéro comme un modèle opérationnel et non comme un projet isolé. Cette approche permet un alignement plus rapide entre les équipes, des contrôles de sécurité plus fiables et une plus grande résilience de l’organisation face aux perturbations.
Dernières réflexions
Zero Trust 2.0 n’est pas une tendance, c’est un changement structurel dans la façon dont les organisations gèrent la confiance, l’identité et la résilience. Le périmètre s’est déplacé, mais la mission n’a pas changé : protéger les actifs critiques tout en favorisant la croissance. Cela signifie que la validation continue, la politique unifiée et l’automatisation doivent désormais être au cœur de la stratégie de l’entreprise, et non plus en marge des opérations informatiques.
Les dirigeants qui mènent cette évolution comprennent que la confiance zéro 2.0 est moins une question d’outils que de discipline. Il s’agit d’aligner la gestion des identités sur les priorités de l’entreprise, en veillant à ce que la sécurité s’adapte aussi rapidement que l’innovation. Une visibilité claire sur les personnes, les appareils et les interactions avec les machines n’est plus optionnelle, c’est la base d’une compétitivité durable et d’une confiance numérique.
Une mise à l’échelle réussie nécessite une cohérence opérationnelle et une volonté de moderniser les processus d’identité à tous les niveaux de l’organisation. Lorsque les dirigeants définissent ce qui compte vraiment, unifient leurs politiques et font de la résilience un objectif mesurable, la confiance zéro passe d’un cadre technique à un accélérateur d’activité.
Les organisations les plus avant-gardistes considèrent déjà la confiance zéro 2.0 comme faisant partie de leur modèle opérationnel à long terme, fondé sur la clarté, l’automatisation et la confiance qui est gagnée en permanence, et non pas supposée une fois.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
