« Zero Trust » est sans doute le terme le plus tendance actuellement en matière de sécurité. De plus en plus adopté par les organisations privées et publiques, il était au cœur du Décret sur la cybersécurité signé par l’administration Biden en 2021. L’approche Zero Trust recouvre une grande variété de sens, qui peuvent varier selon la personne que vous interrogez.
Au départ, Zero Trust est une approche de la sécurité qui part du principe que votre réseau a déjà été compromis. Les écosystèmes de sécurité étaient auparavant plus simples et limités à un périmètre réseau clairement défini. Ce n’est plus le cas aujourd’hui, car les environnements multi-cloud se développent et les terminaux des utilisateurs se multiplient à la vitesse grand V. L’approche Zero Trust vise à valider et à authentifier les utilisateurs lorsqu’ils accèdent aux données sur votre réseau en exigeant d’eux qu’ils confirment qu’ils sont bien les personnes qu’ils prétendent être.
Certaines personnes considèrent l’approche Zero Trust comme une malheureuse stratégie de marque mise en œuvre par les responsables en charge de la sécurité. Comment renforcer la confiance des employés lorsque votre stratégie de sécurité suppose que vous ne leur faites pas confiance ?
Pourquoi l’approche Zero Trust est-elle importante ?
L’approche Zero Trust repose sur l’idée suivante : « ne jamais faire confiance, toujours vérifier ». Cela s’applique à tout moment à l’ensemble du trafic, que ce soit les utilisateurs ou les systèmes. Chez Virtru, nous croyons aux vertus de la structure Zero Trust, car il s’agit d’une approche très efficace en matière de cybersécurité, qui nécessite d’associer la protection des données à une puissante gestion fédérée des identités.
Zero Trust traite chaque utilisateur et chaque système avec la même prudence. Tout le monde est logé à la même enseigne. Et ce n’est pas parce que votre structure de sécurité nécessite une authentification que vous, en tant qu’individu, ne faites pas confiance à vos collègues.
Vous pouvez tout à fait faire confiance à vos collègues tout en mettant en place un filet de sécurité. Lorsque vous roulez en tant que passager dans une voiture, vous portez votre ceinture de sécurité non pas parce que vous ne faites pas confiance au conducteur, mais parce qu’il existe de nombreux facteurs susceptibles de provoquer un accident. Par ailleurs, vous voulez être en sécurité en cas d’accident. Avec une structure Zero Trust, vous rendez service à vos employés. Vous faites tous partie de la même équipe et vous veillez conjointement à ce que les actifs les plus importants de votre entreprise soient protégés. C’est précisément ce que permet une structure Zero Trust.
Conseils pour impliquer les employés en matière de sécurité
- Faites de la sécurité un processus collaboratif et interfonctionnel. Non seulement cela encourage les interactions des employés intéressés par la technologie et la sécurité des données, mais cela vous permettra également d’avoir des ambassadeurs à vos côtés dans l’ensemble de votre organisation. Grâce aux interactions et à l’adhésion des services RH, Ventes, Marketing, Finances, Développement des produits, Réussite des clients et d’autres fonctions, vous développez un réseau susceptible de former, de renforcer la confiance, de répondre aux questions et d’influencer le comportement des employés. Consultez notre article de blog sur la création d’un programme de gestion des menaces internes pour découvrir quelques réflexions sur la mise en place d’équipes de sécurité engagées et interfonctionnelles.
- Communiquez et commentez de façon régulière. Vous voulez que la sécurité reste la préoccupation principale de l’organisation tout au long de l’année, et pas uniquement au moment de la formation de sensibilisation à la sécurité que vous organisez une fois par an. De plus, si vos employés éprouvent une frustration quelconque ou qu’ils sont perdus en matière de sécurité, vous tenez à le savoir (afin qu’ils ne passent pas du côté obscur de la Force et qu’ils ne contournent pas les processus que vous avez mis en place). Prévoyez d’effectuer des contrôles technologiques auprès des différentes équipes et/ou demandez deux à trois fois par an à vos employés de vous faire part de leurs idées, de vous envoyer leurs commentaires ou de vous transmettre les données des enquêtes réalisées au sujet de la protection des données dans l’ensemble de votre organisation.
Plus de conseils pour une sensibilisation à la sécurité Zero Trust
Notre rapport L’employé responsable comprend 3 autres conseils visant à renforcer la confiance à l’attention des responsables de la sécurité dans un environnement Zero Trust, ainsi que des dizaines d’autres réflexions pour encourager les interactions des employés dans le domaine de la sécurité tout au long de l’année. Téléchargez le rapport L’employé responsable de Virtru pour découvrir plus d’idées et de recommandations dans le but de développer votre culture de sécurité Zero Trust.
