Stratégie

Le modèle de maturité Zero Trust évolue pour devenir moins intimidant

La Cisa (agence américaine de cybersécurité et de sécurité des infrastructures) a mis plus d'un an pour mettre à jour son modèle de maturité Zero Trust, avec l'ambition d'en faciliter l'accès. (Photo : Pete Linforth / Pixabay)

Pour faciliter la transition des entreprises vers le Zero Trust, l'agence américaine pour la cybersécurité et la sécurité des infrastructures a mis à jour son modèle de maturité en y ajoutant une étape. Facilitant les premiers pas des entreprises sur ces principes.

PublicitéL'agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a publié la version 2 de son modèle de maturité Zero Trust (ZTMM), intégrant les recommandations issues des commentaires publics reçus sur la première mouture. « La CISA s'est attachée à guider les agences (les administrations américaines, NDLR), qui se trouvent à différents stades de leur parcours, dans la mise en oeuvre d'une architecture Zero Trust », explique Chris Butera, directeur technique pour la cybersécurité à la Cisa. « En tant que feuille de route parmi d'autres, le modèle actualisé guidera les agences à travers un processus méthodique et une transition vers une plus grande maturité en matière de Zero Trust. Bien qu'il soit applicable aux agences civiles fédérales, toutes les organisations trouveront ce modèle intéressant à examiner et à utiliser pour mettre en oeuvre leur propre architecture ».

La Cisa publié la première version de son modèle ZTMM en septembre 2021, conformément au décret sur la cybersécurité publié par le président Biden en mai 2021. Celui-ci a défini une série d'initiatives et d'objectifs en matière de cybersécurité, notamment en incitant les agences du gouvernement fédéral à se rapprocher des architectures Zero Trust. En janvier 2022, l'OMB (Bureau chargé du budget au sein de l'administration présidentielle américaine) a également publié une stratégie fédérale ZTA (Zero Trust Architecture) dans le cadre de ce même décret, exigeant des agences qu'elles respectent des normes et des objectifs spécifiques en matière de cybersécurité d'ici à la fin de l'année 2024.

Le Zero Trust est un principe en vogue depuis quelques années dans le domaine de la gestion des risques liés à la cybersécurité. Le modèle englobe de nombreux concepts qui sont souvent difficiles à saisir et encore plus difficiles à mettre en oeuvre. La Cisa le définit comme « une approche dans laquelle l'accès aux données, aux réseaux et à l'infrastructure est limité au strict nécessaire et où la légitimité de cet accès doit être vérifiée en permanence ». Selon le National Institute of Standards and Technology (NIST), un organisme de normalisation aux Etats-Unis, le ZTA est le programme de cybersécurité d'une entreprise qui utilise les concepts Zero Trust et englobe les relations entre les composants, la planification des workflows et les politiques d'accès.

Par conséquent, un modèle Zero Trust comprend l'infrastructure de réseau (physique et virtuelle) et les politiques opérationnelles. Theresa Payton, CEO de Fortalice (une société de services en cybersécurité), souligne la difficulté d'adopter des approches permettant d'atteindre les objectifs des stratégies et modèles Zero Trust en entreprise. Même la terminologie ZTA ressemble à une sorte de grand puzzle au sein duquel il suffirait de suivre des instructions et de tout brancher, ce n'est pas si simple, explique-t-elle. « Le plus grand défi réside dans un manque d'appréciation du fait qu'il ne s'agit pas vraiment d'un long fleuve tranquille. J'entends les gens décrire cela comme une simple routine, mais il s'agit en fait d'un choix de vie ».

PublicitéL'étape cruciale de l'initialisation du Zero Trust

Le modèle ZTMM de la Cisa comprend cinq piliers : identité, terminaux, réseaux, applications/workflows et données. Et s'articule au travers de trois capacités transversales : la visibilité et l'analyse, l'automatisation et l'orchestration, ainsi que la gouvernance. Selon le modèle actualisé, il existe quatre stades de maturité : traditionnel, initial, avancé et optimal. « Les trois étapes du parcours ZTM (Zero Trust Model) qui permettent de passer du stade traditionnel au stade initial puis avancé et optimal faciliteront la mise en oeuvre de la ZTA au niveau de l'organisation. Chaque stade de maturité exige des niveaux de protection plus avancés, davantage de détails à maîtriser et s'accompagne d'une complexité plus élevée », souligne la Cisa. L'ajout de la phase initiale est le changement le plus important entre le modèle ZTMM original et la version actualisée. Selon la Cisa, cette étape s'adresse aux entreprises qui commencent tout juste à « automatiser l'attribution des attributs et la configuration des cycles de vie, à prendre les décisions sur les politiques à déployer et à gérer leur application, et à déployer les premières solutions s'intégrant avec des systèmes externes ». Theresa Payton se félicite de cet ajout d'une phase initiale au modèle de maturité. Selon elle, il s'agit là d'un point de départ pour les organisations qui ne savent pas trop par où commencer. Le nouveau modèle fournit « quelques éléments fondamentaux que vous pouvez mettre en oeuvre et qui vous aideront à atteindre les principes du ZTA », dit-elle.

« Ce qu'ils ont fait, c'est qu'ils ont pris les plus de 300 commentaires qu'ils ont reçus des agences et des consultants, des vendeurs, de la communauté tout simplement, qui ont commenté le modèle précédent », explique Eric Noonan, CEO de CyberSheath (services de cybersécurité managés). « Ils ont ensuite créé un produit qui intègre les commentaires en ajoutant la phase initiale, car ils ont constaté que passer de la première phase, qui est traditionnelle, à la phase suivante, qui est avancée, représentait un saut trop important. Je pense donc qu'ils ont mis davantage l'accent sur une transition plus douce ». L'ajout de la phase initiale montre que le passage au Zero Trust n'est pas une ligne droite, reprend Eric Noonan. « Ce n'est en aucun cas une démarche linéaire. L'étape initiale le reconnaît et donne aux entreprises qui souhaitent adopter ce modèle un moyen plus pratique et plus réaliste d'y parvenir d'une manière mesurable, plutôt que de passer d'emblée de zéro à cent ».

L'absence de prise en compte de l'IA en question

La Cisa a mis un peu plus d'un an et demi pour mettre à jour son ZTMM, ce qui, selon Theresa Payton, est un délai trop long compte tenu du rythme de l'évolution technologique, en particulier des progrès rapides en matière d'intelligence artificielle. Elle évoque une situation récente dans laquelle des employés de Samsung ont divulgué des informations sensibles et confidentielles de l'entreprise à la plateforme ChatGPT d'Open AI. « J'ai été un peu surprise que le modèle n'aborde pas l'IA ; cela montre à quel point ce sujet peut être difficile, donc ce n'est pas une critique de la Cisa. Mais cela montre également combien il peut être difficile de suivre l'innovation et la transformation technologiques » La ZTMM ne traite en effet pas de l'intelligence artificielle, de l'apprentissage automatique ou de l'IA générative.

Theresa Payton souhaiterait que l'agence soit autorisée à mettre à jour plus rapidement son modèle à l'avenir. « J'aimerais que la Cisa ait l'autorité et les garde-fous nécessaires pour agir plus rapidement. De nouvelles technologies sont introduites. Il faut leur permettre de mettre à jour les modèles, les orientations, les cadres et les politiques pour suivre le rythme du marché. » Eric Noonan, quant à lui, a un autre point de vue sur le moment choisi pour cette mise à jour. « Ils ont fait d'énormes progrès. La deuxième itération du modèle en l'espace de deux ans témoigne de l'importance accordée par le gouvernement fédéral à cette question, ainsi que de l'importance et des progrès réalisés en matière de Zero Trust ».