Le principe du « zero trust » est devenu la référence en matière de cybersécurité dans les entreprises, impliquant une méfiance systématique envers tous les utilisateurs, qu’ils soient employés ou externes. Dans ce cadre, l’accès aux données est strictement limité, même pour les dirigeants. Cependant, cette méthode montre ses limites, incitant à explorer le concept de « zero standing privilege », qui impose des restrictions encore plus strictes.
Limites du « zero trust »
Le « zero trust » restreint l’accès au réseau et aux données, ce qui peut créer des frustrations pour les employés devant demander des autorisations pour des accès nécessaires. Cette prudence est justifiée par l’augmentation des cas d’usurpation d’identité, où les hackers infiltrent les réseaux pour accéder aux données sensibles.
Les directeurs des systèmes d’information (DSI) sont particulièrement préoccupés par ces menaces, souvent dues à des négligences, du phishing, ou des comportements imprudents des employés.
Problèmes d’identité et de sécurité
Les mots de passe classiques n’offrent plus une sécurité suffisante, car ils sont souvent faibles ou utilisés de manière répétitive. Les objets connectés, en particulier les téléphones mobiles, représentent une menace majeure. Des études montrent que la majorité des fuites de données résultent de négligences internes plutôt que d’attaques externes, les employés contournant les règles de sécurité pour gagner en productivité.
Vers le « zero standing privilege »
Face à ces défis, le modèle « zero trust » est jugé insuffisant par certains experts. Christophe Escande de CyberArk souligne la prolifération des identités, notamment celles des machines qui échangent des informations sensibles. Avec l’essor de l’internet des objets, le nombre de machines connectées augmente rapidement, rendant la gestion des identités encore plus complexe.
Le « zero standing privilege » propose une solution où aucune identité, humaine ou machine, ne peut agir sans justification préalable de ses actions. Cette approche pourrait devenir essentielle dans le cadre de la réglementation NIS-2, soulignant la nécessité d’une évolution des pratiques de cybersécurité.
Les entreprises doivent repenser leurs stratégies de cybersécurité pour faire face à l’évolution des menaces. La transition vers des modèles plus restrictifs comme le « zero standing privilege » pourrait être une étape clé pour protéger les données sensibles dans un paysage technologique en constante évolution.
Mes réseaux sociaux
Plus de contenus au quotidien sur la chaîne WhatsApp : https://whatsapp.com/channel/0029VaksACA1yT22RQusyF0u
Facebook : https://facebook.com/nullbytepro
YouTube : https://youtube.com/@nullbytepro?sub_confirmation=1
Contact : nullbytepro@proton.me
