AVIS D’EXPERT – Pour Iliass Melgou, ingénieur solutions chez AvePoint, si la donnée est indispensable aux entreprises, elle est aussi un facteur de risque. Pour s’en prémunir, l’une des approches récentes est le modèle du Zéro trust. Mais le spécialiste explique aux lecteur de SOlutions-Numériques et Cybersécurité Solutions que ce modèle a aussi ses failles et peut entraîner des erreurs d’installation et accroître la vulnérabilité des entreprises avec un faux sentiment de sécurité, notamment dans les espaces de travail collaboratifs. La gouvernance des données ajoute de ce point de vue une surcouche de protection précieuse.
Iliass Melgou, ingénieur solutions chez AvePoint, un éditeur de logiciels spécialisé dans la sécurisation de la collaboration au sein de Microsoft 365
Alors que les risques de vol, de compromission ou d’altération des données augmentent, l’approche “Zéro trust » passe pour l’un des modèles de sécurité et de confiance les plus sécurisés pour les réseaux informatiques. Elle repose sur l’idée que le risque est omniprésent, à l’extérieur ou à l’intérieur de l’entreprise et repose sur trois principes :
– Toujours supposer une violation de sécurité jusqu’à preuve du contraire. Elle présuppose que l’utilisateur ne fait pas partie de l’entreprise.
– La vérification explicite. Elle consiste à vérifier l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service demandé (autorisation de la solution), l’application, la donnée elle-même (le document).
– L’accès à privilège minimum. Les accès utilisateurs sont cloisonnés entre eux, définis au juste temps et au strict nécessaire.
Le Zéro trust, un modèle qui comporte des failles
Aussi intéressant soit-il, ce modèle comporte aussi des failles. La première concerne son architecture très complexe, difficile à mettre en place. Il nécessite une mise en œuvre progressive et suppose le déploiement de solutions de sécurité qui doivent s’intégrer dans un système global de défense. Cela peut engendrer des erreurs d’installation ou de configuration, failles exploitables par les cyberattaquants.
La seconde réside dans le faux sentiment de sécurité que ce modèle peut créer, notamment dans l’utilisation des différents espaces de travail collaboratif. Une fois l’utilisateur autorisé à entrer, les données sont librement partageables, échangeables à des utilisateurs externes qui en auraient les droits d’accès. Alors, comment faire ?
La politique de gouvernance comme surcouche de protection
C’est là qu’entre en jeu la politique de gouvernance des données, à intégrer comme une surcouche de protection. Elle agit comme un conteneur – le workspace – entre la donnée et l’utilisateur. La gouvernance des espaces collaboratifs complète le modèle Zéro trust., pourvu qu’elle repose sur cinq grands piliers :
- Le recensement des données sensibles
Les données doivent être classées selon leur degré de sensibilité. Des paramètres de protection y sont également rattachés pour se prémunir des accès inappropriés, des partages non autorisés, etc.
- La sécurisation des échanges avec l’externe
Les échanges avec l’externe doivent être sécurisés, avec des accès spécifiques, de type invité. Des outils tiers d’automatisation et de surveillance des connexions amélioreront la sécurisation des espaces de travail numérique.
- La délégation de l’administration de certains services au service informatique
Avec la mise en place de l’accès à privilège minimum à certaines applications, l’efficacité et la fluidité des services peuvent être ralenties. La délégation de la gouvernance de certaines applications ou certains accès au service IT limite ainsi ces effets.
- L’adaptation de la stratégie de gouvernance à la taille de l’entreprise.
- L’instauration de mécanismes de suivi et d’évaluation. Il est indispensable d’adapter cette politique de gouvernance pour répondre aux évolutions des besoins. Tout en prenant en compte les retours utilisateurs, les nouvelles tendances et les nouveaux défis, pour maintenir une gouvernance efficace et pertinente.
Appliquer le modèle Zéro trust peut s’avérer ardu et suppose souvent de s’appuyer sur des experts. Il en va de même pour la politique de gouvernance de données qui apporte un filet supplémentaire de sécurité aux entreprises. Cette gouvernance repose sur l’exploitation d’outils et de méthodes permettant de catégoriser les données et de compartimenter les différents espaces de travail numériques au sein de l’entreprise. Elle joue désormais un rôle de préservation de la donnée : sans elle, la data a tôt fait de passer du statut d’actif au statut de risque.
Iliass Melgou
