La confusion sur le sens réel et le but de la confiance zéro rend plus difficile pour les gens de mettre en œuvre les idées dans la pratique. Les partisans sont largement d’accord sur les objectifs généraux et le but derrière la phrase, mais les cadres ou les administrateurs informatiques occupés avec d’autres sujets de préoccupation peuvent facilement être induits en erreur et finir par mettre en œuvre des protections de sécurité qui renforcent simplement les anciennes approches plutôt que d’introduire quelque chose de nouveau.
“Ce que l’industrie de la sécurité a fait au cours des 20 dernières années, c’est simplement ajouter plus de cloches et de sifflets – comme l’IA et l’apprentissage automatique – à la même méthodologie”, a déclaré Paul Walsh, fondateur et PDG de la société anti-phishing basée sur la confiance zéro. MetaCert. « Si ce n’est pas une confiance zéro, c’est juste une sécurité traditionnelle, peu importe ce que vous ajoutez. »
Les fournisseurs de cloud en particulier, cependant, sont en mesure d’intégrer des concepts de confiance zéro dans leurs plates-formes, aidant les clients à les adopter dans leurs propres organisations. Mais Phil Venables, responsable de la sécurité des informations de Google Cloud, note que lui et son équipe passent beaucoup de temps à parler aux clients de ce qu’est réellement la confiance zéro et de la façon dont ils peuvent appliquer les principes dans leur propre utilisation de Google Cloud et au-delà.
« Il y a beaucoup de confusion là-bas. » dit-il. « Les clients disent : « Je pensais que je savais ce qu’était la confiance zéro et maintenant que tout le monde décrit tout comme une confiance zéro, je le comprends moins. »
Outre le fait de s’entendre sur la signification de l’expression, le plus grand obstacle à la prolifération de la confiance zéro est que la plupart des infrastructures actuellement utilisées ont été conçues selon l’ancien modèle de réseau de douves et de châteaux. Il n’y a pas de moyen facile de moderniser ces types de systèmes pour une confiance zéro, car les deux approches sont si fondamentalement différentes. Par conséquent, la mise en œuvre des idées derrière la confiance zéro partout dans une organisation implique potentiellement des investissements importants et des inconvénients pour réorganiser les systèmes existants. Et ce sont précisément les types de projets qui risquent de ne jamais être réalisés.
Cela rend la mise en œuvre de la confiance zéro dans le gouvernement fédéral, qui utilise un méli-mélo de fournisseurs et de systèmes hérités dont la révision nécessitera des investissements massifs en temps et en argent, particulièrement intimidante, malgré les plans de l’administration Biden. Jeanette Manfra, ancienne directrice adjointe de la cybersécurité chez CISA qui a rejoint Google fin 2019, a vu la différence en passant de l’informatique gouvernementale à l’infrastructure interne zéro confiance du géant de la technologie.
«Je venais d’un environnement où nous investissions une somme énorme de l’argent des contribuables pour sécuriser des données personnelles très sensibles, des données de mission et constater les frictions que vous avez rencontrées en tant qu’utilisateur, en particulier dans les agences les plus axées sur la sécurité», dit-elle. « Que vous pourriez avoir plus de sécurité et une meilleure expérience en tant qu’utilisateur était tout simplement époustouflante pour moi.”
Ce qui ne veut pas dire que la confiance zéro est une panacée de sécurité. Les professionnels de la sécurité qui sont payés pour pirater des organisations et découvrir leurs faiblesses numériques (appelées « équipes rouges ») ont commencé à étudier ce qu’il faut pour percer dans les réseaux de confiance zéro. Et pour la plupart, il est encore assez facile de cibler simplement les parties du réseau d’une victime qui n’ont pas encore été mises à niveau avec des concepts de confiance zéro à l’esprit.
« Une entreprise déplaçant son infrastructure hors site et la mettant dans le cloud avec un fournisseur de confiance zéro fermerait certaines voies d’attaque traditionnelles », explique Cedric Owens, red teamer de longue date. “Mais en toute honnêteté, je n’ai jamais travaillé ou fait équipe dans un environnement de confiance zéro.” Owens souligne également que si les concepts de confiance zéro peuvent être utilisés pour renforcer matériellement les défenses d’une organisation, ils ne sont pas à l’épreuve des balles. Il mentionne les erreurs de configuration du cloud comme un exemple parmi d’autres des faiblesses que les entreprises peuvent involontairement introduire lorsqu’elles passent à une approche zéro confiance.
Manfra dit qu’il faudra du temps à de nombreuses organisations pour saisir pleinement les avantages de l’approche zéro confiance par rapport à ce sur quoi elles comptent depuis des décennies. Elle ajoute, cependant, que la nature abstraite de la confiance zéro a ses avantages. Concevoir à partir de concepts et de principes plutôt que de produits particuliers confère une flexibilité, et potentiellement une longévité, que des outils logiciels spécifiques n’offrent pas.
« Philosophiquement, cela me semble durable », dit-elle. “Vouloir savoir quoi et qui touche quoi et qui dans votre système sont toujours des choses qui seront utiles pour la compréhension et la défense.”
Plus de belles histoires WIRED
.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/PLGIFOTKV5FYFPSQ6CZQ5ZNCSE.png)