Régler le problème du périmètre
Aller au-delà de la sécurité traditionnelle avec le Zero Trust
L'époque de la sécurité périmétrique traditionnelle est révolue pour l'entreprise moderne. Ce constat est en partie dû à l'évolution des méthodes de travail traditionnelles. Au cours d'une même semaine, les collaborateurs de l'ère moderne peuvent travailler depuis une petite agence régionale, un avion, un bureau à domicile, un café et le bureau d'un client.
La plupart des responsables de la technologie reconnaissent que la sécurité Zero Trust constitue la meilleure solution pour remplacer l'approche traditionnelle de la protection d'une entreprise. Axé sur l'identité, le processus de vérification en continu proposé par la sécurité Zero Trust permet aux entreprises de protéger leurs ressources, indépendamment de l'endroit où se situent les utilisateurs et leurs appareils. En passant au modèle Zero Trust, les entreprises peuvent remédier aux limitations intrinsèques de la sécurité périmétrique.
Toutefois, de nombreuses entreprises n'en sont pas encore à ce stade. Pour tout dire, bon nombre d'entre elles n'ont pas beaucoup avancé dans leur parcours Zero Trust. Où en sont-elles sur une échelle d'un à dix ? « Je dirais quatre », précise Menny Barzilay, CEO et cofondateur de la plateforme de cybersécurité Milestone, mais aussi partenaire chez Cytactic. Personnellement, je répondrais « six ». Au mieux.
J'ai récemment discuté du problème de la sécurité périmétrique avec Menny Barzilay et Khalid Kark, le DSI de terrain de Cloudflare pour la région Amériques. Nous avons évoqué les vulnérabilités traditionnelles de la sécurité basée sur le périmètre mises en lumière dans le rapport Cloudflare Signals 2025 et étudié la manière dont la transition vers un modèle Zero Trust peut contribuer à résoudre ces problèmes.
Nous sommes tous d'accord : dans l'environnement actuel des menaces, la progression au sein du parcours Zero Trust s'avère impérative pour protéger les entreprises. Toutefois, il ne suffira pas de se contenter d'acheter une solution unique pour y parvenir.
Remplacer le périmètre par une sécurité fondée sur l'identité
Avant que les organisations puissent passer à un nouveau modèle de sécurité, il est important de comprendre d'où elles viennent. Pendant des années, les organisations ont concentré leurs efforts de cybersécurité sur la protection de leur périmètre de réseau, qui coïncidait fortement avec le périmètre physique des bureaux d'entreprise. Ils ont protégé ce périmètre du réseau derrière un pare-feu dans leur datacenter sur site.
Aujourd'hui, les organisations se sont étendues bien au-delà de leurs bureaux physiques. Les employés travaillent de partout, en utilisant des applications basées sur le cloud. Comme l’a dit Menny Barzilay, « le périmètre est difficile à définir dans la réalité d’aujourd’hui ».
Au lieu de défendre les organisations comme si elles étaient des châteaux avec des douves, les responsables de la cybersécurité ont besoin d'un modèle entièrement nouveau. La plupart d'entre eux s'accordent à dire que l'identité constituera un élément essentiel de ce modèle. Bien sûr, ce n'est pas aussi simple que la simple vérification de l'identité d'un utilisateur. Les organisations doivent intégrer un contexte supplémentaire pour chaque demande d'accès ainsi que le niveau de sécurité des appareils de l’utilisateur.
Si elles font les choses correctement, les gains en matière de sécurité sont énormes. « Il existe une théorie selon laquelle si vous parvenez à résoudre le problème de l'identité, vous pouvez résoudre la cybersécurité », explique Menny Barzilay. « Si vous savez que la bonne personne utilise les bonnes données avec le bon appareil… vous n'avez pas de problème de cybers�écurité. »
La résolution du problème de l'identité constitue un objectif principal du déploiement d'un modèle de sécurité Zero Trust. Or, ce dernier s'articule autour du fondement suivant : ne jamais faire confiance, toujours vérifier. Plutôt que de faire confiance à tous les utilisateurs qui parviennent à traverser les « douves » entourant votre château (et ainsi leur donner accès à toutes vos ressources), l'approche Zero Trust part du principe que des risques existent, aussi bien à l'intérieur qu'à l'extérieur de votre réseau. Les outils Zero Trust contrôlent l'identité de l'utilisateur, le contexte et l'appareil avant d'accorder l'accès à des données et des applications spécifiques.
Comme l'a fait remarquer Khalid Kark lors de notre récente discussion, le Zero Trust n'est pas une solution unique et spécifique : « C'est un état d'esprit. » Menny Barzilay le rejoint sur ce point : « L'idée ici consiste à comprendre et à reconnaître qu'aucun système ne doit faire preuve d'une confiance intrinsèque. Il convient de vérifier l'ensemble des facteurs. »
Je considère moi aussi le Zero Trust comme un parcours, dont le point de départ importe peu. Toutefois, la plupart des entreprises commencent par identifier leurs scénarios les plus problématiques.
« Si vous parvenez à résoudre le problème de l'identité, vous parvenez à résoudre la cybersécurité. »
Menny Barzilay, directeur général et cofondateur de Milestone, et cofondateur et partenaire chez Cytactic
Déterminer la première destination : identifier un scénario d'utilisation principal pour le Zero Trust
Un modèle de sécurité Zero Trust peut vous aider à répondre à certaines des menaces les plus pressantes entraînées par l'explosion du travail hybride et des ressources basées sur le cloud. Il peut ainsi vous permettre de remplacer vos solutions d'accès à distance obsolètes, de contrôler l'informatique clandestine (Shadow IT) et de simplifier la sécurité pour vos utilisateurs, par exemple.
1. Remplacer les VPN traditionnels
Les acteurs malveillants savent qu'ils peuvent obtenir un vaste accès au réseau d'une entreprise s'ils parviennent à dérober les identifiants VPN d'un seul utilisateur. La transition vers une sécurité Zero Trust axée sur l'identité peut contribuer à régler ce grave problème. Le modèle Zero Trust vous permet d'appliquer un processus de vérification des utilisateurs en continu et de mettre en œuvre l'authentification contextuelle sur vos workloads cloud et vos applications SaaS (Software-as-a-Service, logiciel en tant que service). Si des acteurs malveillants parviennent néanmoins à accéder à distance à votre réseau, l'accès régi selon le principe du moindre privilège limite l'étendue de l'infiltration et empêche dès lors les mouvements latéraux.
Le remplacement d'un VPN par une solution de sécurité Zero Trust présente des avantages supplémentaires : les utilisateurs bénéficient d'une expérience plus fluide et à plus faible latence lorsqu'ils se connectent aux ressources. Vous pouvez également faire évoluer l'accès Zero Trust plus rapidement et de manière plus économique que dans le cas d'une solution VPN. Votre équipe IT peut réduire la complexité administrative liée à la gestion des accès à distance et hybrides.
2. Contrôlez l'informatique fantôme (Shadow IT)
Les fournisseurs de cloud rendent l'adoption de nouveaux services incroyablement facile, y compris des services d'IA. En conséquence, les employés individuels et les équipes s'inscrivent souvent à ces services sans consulter le service informatique. Ce type d'informatique fantôme (ou IA fantôme) rend de plus en plus difficiles la surveillance et la sécurisation des applications cloud et des environnements cloud. L'utilisation même des outils de collaboration basés sur le cloud, même les plus simples, peut mettre en péril les données sensibles.
Au même titre que l'application automatisée des politiques, la mise en œuvre de CASB (Cloud Access Security Brokers, agents de sécurité des accès au cloud) et d'outils d'identification soutenus par IA dans le cadre d'une sécurité Zero Trust peut vous aider à bénéficier d'une visibilité et d'un contrôle en temps réel sur l'utilisation des services cloud non autorisés.
3. Mettre fin à l'ère des mots de passe
. À l'heure où les acteurs malveillants s'appuient sur l'IA pour élaborer des tactiques plus sophistiquées, l'identité demeure un vecteur d'attaque principal. Comme l'indique le rapport, au cours du premier trimestre 2024, 25 % des engagements pris par Cisco en matière de réponse aux incidents étaient liés à l'acceptation de notifications push d'authentification multifacteur (Multi-Factor Authentication, MFA) frauduleuses par les utilisateurs. Les acteurs malveillants détournent également les sessions actives et dérobent les identifiants par d'autres moyens, en exposant ainsi les entreprises à des violations généralisées et à l'usurpation de leurs comptes.
Les entreprises sont notamment confrontées à plusieurs difficultés liées à l'identité :
Réutilisation des identifiants : selon le rapport, l'analyse des identifiants compromis a révélé que 46 % de toutes les tentatives de connexion humaines (et 60 % des tentatives de connexion d'entreprise) impliquaient des identifiants compromis.
Attaques automatisées par les identifiants : l'analyse des identifiants compromis a montré que 94 % des tentatives de connexion utilisent des identifiants divulgu�és provenant de bots, capables de tester des milliers de mots de passe volés par seconde.
Mots de passe trop faibles : les mots de passe statiques et même les méthodes MFA basiques sont souvent inefficaces contre les menaces modernes, y compris le détournement de session et le vol d'identifiants résistants au phishing.
Il est temps d'abandonner la sécurité traditionnelle basée sur les mots de passe. La mise en œuvre de mesures Zero Trust de contrôle des accès (assorties d'autres fonctionnalités parmi lesquelles l'authentification sans mot de passe, l'analyse comportementale et la révocation automatique des identifiants) peut contribuer à atténuer les risques potentiels liés aux mots de passe statiques simples et à un processus de MFA basique.
Identifier le point de départ de votre parcours Zero Trust
Une fois le bon scénario d'utilisation identifié, vous devez procéder à l'inventaire et à l'audit de vos applications. L'objectif ici consiste à déterminer qui a déjà accès à chaque application et qui ne devrait pas y avoir accès. De nombreux parcours Zero Trust échouent, car les entreprises négligent ces audits.
À ce stade, vous pouvez sélectionner une solution de sécurité Zero Trust. S'il est vrai que le Zero Trust constitue davantage un modèle ou une philosophie qu'une solution unique, le choix de la solution Zero Trust adéquate vous permet d'appliquer les principes et les politiques Zero Trust que vous définissez.
Malgré l'importance du Zero Trust, un trop grand nombre d'entreprises commencent par acheter ce type de solution pour se retrouver ensuite bloquées dans leur parcours. En effectuant tout ce travail de préparation au préalable, notamment l'identification d'un scénario d'utilisation et la réalisation d'audits, vous vous assurez d'investir votre temps et votre énergie dans des moyens qui vous permettront d'obtenir les résultats escomptés.
Le parcours sera plus facile pour certaines entreprises que pour d'autres. Comme l'indique Menny Barzilay, les start-ups peuvent mettre en œuvre la sécurité Zero Trust dès le premier jour afin d'éviter les obstacles potentiels liés au remplacement de solutions existantes. Toutefois, pour d'autres entreprises, le fait de cibler un scénario d'utilisation spécifique, comme la sécurisation de l'accès à distance, vous aidera à bénéficier d'une réussite relativement rapide sur ce terrain, susceptible de dynamiser la progression de votre entreprise.
Malheureusement, la plupart des entreprises n'ont pas réellement fait de progrès dans leur parcours au sein de l'univers Zero Trust. En attendant, elles doivent faire face à la fois aux promesses immenses (et aux craintes) que suscite l'IA. Si l'IA ajoutera de nouvelles difficultés, comme la nécessité de gérer l'identité non humaine, elle permettra également de détecter plus efficacement les menaces et d'améliorer automatiquement le niveau de sécurité d'une entreprise.
Khalid Kark, Menny Barzilay et moi-même sommes néanmoins tous les trois d'accord sur le fait qu'il est essentiel de progresser dans le parcours Zero Trust. Le Zero Trust permet de combler les lacunes des solutions basées sur le périmètre. En parallèle, il réduit de manière significative la complexité et les coûts liés à la sécurité. Plutôt que de gérer plusieurs outils, vous pouvez ainsi adopter une approche unifiée de la protection de vos ressources en vous concentrant sur l'identité.
Passer au Zero Trust
Le cloud de connectivité Cloudflare est une plateforme de services cloud-native capable de simplifier la transition d'une sécurité traditionnelle, basée sur le périmètre, vers un modèle de sécurité Zero Trust. La solution d'accès réseau Zero Trust (Zero Trust Network Access, ZTNA) de Cloudflare vous permet, par exemple, de remplacer votre VPN tout en élevant votre niveau de sécurité, en assurant une meilleure expérience utilisateur et en simplifiant la gestion. La plateforme Cloudflare propose également des services conçus pour regagner visibilité et contrôle sur vos ressources IT, mais aussi bloquer les attaques sur l'identité menées par des bots. Ensemble, ces services vous permettent de progresser dans votre parcours Zero Trust et d'abandonner vos modèles de sécurité périmétrique existants.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la manière dont la sécurité Zero Trust peut vous aider à bâtir une entreprise plus résiliente, en plus d'autres tendances critiques relatives à la sécurité, dans notre rapport intitulé Cloudflare Signals 2025 : la résilience à grande échelle.
Auteur
Steve Pascucci — @StevePascucci Responsable du Zero Trust, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Les raisons pour lesquelles la sécurité périmétrique traditionnelle ne suffit plus
Comment le Zero Trust s'est imposé comme un impératif en matière de sécurité moderne
Où commencer votre parcours Zero Trust