Infrastructure informatique pour des processus globaux: Qu’est-ce que l’approche “Zero-Trust?

A l’instar d’une infrastructure informatique classique, caractérisée par un périmètre  à l’arrière d’un routeur réseau tel qu’utilisée dans encore beaucoup d’entreprises aujourd’hui, une infrastructure de confiance zéro (“Zero-Trust” en anglais) met en œuvre des principes de sécurité qui protègent l’accès aux données lors de l’implémentation de processus globaux, i.e. des processus qui regroupent des activités auxquelles des gens contribuent à distance et dans le monde entier.

Cet article a pour but une introduction aux principes Zero-Trust et aux raisons pour l’adoption d’une telle infrastructure.

La mondialisation des processus

Au cours des 10 dernières années, les forces de la mondialisation ont continuellement remodelé les opérations des entreprises. Dans le cas du développement de produits et services, les grandes entreprises ont mis en place des centres d’excellence et des équipes offshore pour optimiser leurs allocations budgétaires. Ces entreprises ont également intensifié leurs collaborations techniques avec leurs semblables, ainsi qu’avec des partenaires plus petits, souvent pour pallier une pénurie de compétences et renforcer leur capacité à innover.

Photo par the blowup sur Unsplash

Ce qui est relativement nouveau, c’est que leur modus operandi est désormais reproduit par des entreprises plus petites, c’est-à-dire des petites et moyennes entreprises (PME), grâce à la montée en puissance de plateformes proposant des travailleurs indépendants comme Upwork, Toptal, ou simplement via des sociétés d’externalisation de la main-d’œuvre. En résumé, le coût  d’une mise en place d’un processus de développement de produits au sein d’une équipe globale est devenu suffisamment maîtrisable pour que les PME puissent désormais bénéficier des nouveaux flux d’information mondiaux (voir Mckinsey’s, Digital globalization: The new era of global flows). La globalisation des processus peut désormais se faire à grande échelle, c’est-à-dire dans toutes les tailles d’entreprise.

Dans de nombreux processus de développement globaux tels que ceux mentionnés ci-dessus, le code source d’application et les données traitées sont les principaux actifs de propriété intellectuelle consommés et générés.

Dans les scénarios présentés jusqu’à présent, un défi pour les entreprises de toute taille -et souvent un coût important constaté par les entreprises ayant une expérience de l’externalisation- est la sécurisation du processus. Le défi de sécurité est principalement le contrôle et la protection des actifs qui composent la propriété intellectuelle de l’entreprise tels que le code source d’application et les données tout au long du processus. Cela se fait idéalement via la mise en œuvre d’une infrastructure informatique qui permet de sécuriser le travail à distance, d’embarquer les travailleurs temporaires de manière viable et d’éviter les fuites de données lors de collaborations éphémères ou plus longues, que ce soit entre entreprises ou avec des indépendants.

La disparition du périmètre informatique

La manière classique pour les entreprises de protéger les actifs tels que le code source et les données est de les stocker dans le Cloud ou derrière le périmètre informatique de l’entreprise dans des serveurs “locaux”. Le périmètre informatique est généralement délimité par des éléments de réseau tels que des pare-feu (firewall) et des routeurs. Ainsi une fois derrière ces éléments, les exigences d’authentification et d’autorisation des ordinateurs sont moindres que lorsqu’ils sont à l’extérieur.

Photo par Dave Lowe sur Unsplash

La globalisation des processus, comme expliqué plus haut, obligent les entreprises à fournir un accès aux données aux collaborateurs à la fois à l’intérieur et à l’extérieur du périmètre informatique. L’utilisation de connexions de réseau privé virtuel type VPN (Virtual Private Network) est courante pour fournir un accès à des services internes. Cependant, un problème fondamental est la confiance accordée aux collaborateurs à l’intérieur du réseau, qu’ils soient connectés physiquement ou via un VPN. De plus, l’utilisation accrue des ressources Cloud brouille la distinction entre les services internes et externes.

En comparaison, une architecture de type Zero-Trust repose sur le principe qu’aucun collaborateur ne se voit attribuer un “montant de confiance” par défaut et que tous font l’objet d’une vérification approfondie. De ce fait, elle supprime la distinction entre un accès de l’intérieur ou de l’extérieur. De plus, la méthodologie de mise en place d’une infrastructure Zero-Trust suppose que le réseau est déjà compromis et que des menaces internes, par exemple des collaborateurs malicieux, sont actives. 

Cette approche est basée sur un ensemble de principes de conception réseau en cybersécurité qui mettent en œuvre une stratégie axée en premier sur la protection des données de l’entreprise, par opposition au périmètre du réseau. Cet objectif est le fondement adopté les normes de sécurité de l’information telles que ISO 27001 et d’autres publications de la série ISO 27k.

Photo par Pablo Stanic sur Unsplash

Protection des ressources à l’aide d’une infrastructure Zero Trust

En conclusion, l’approche Zero-Trust prescrit des principes de conception pour créer une infrastructure informatique qui se concentre sur la protection des ressources en maîtrisant leur accès par le biais d’un contrôle actif de la sécurité. Le principal avantage de cette approche est de fournir à une entreprise la capacité de mettre en œuvre des politiques de sécurité granulaires et dynamiques. Ces politiques sont évaluées en continu et capturent les conditions environnementales changeantes et variées telles que celles reflétées dans des scénarios commerciaux complexes et mondiaux.

Vous pouvez trouver une explication plus détaillée de l’approche Zero-Trust sur mon blog Medium (en anglais), en particulier avec l’article How Zero-Trust Architecture Design Enables Global Business Processes. 

Laurent Balmelli

Je suis un professionnel de l'innovation, en particulier envers les technologie (de la cybersécurité, du cloud et de l'approche DevOps) et les modèles d'affaires. J'ai reçu mon doctorat de l’EPFL en 2000 et ensuite vécu ensuite à New York et Tokyo avant de revenir en Suisse en 2012. Mes intérêts aujourd'hui sont la création de produits technologiques, la lecture, l’écriture et ma famille. Mise à part mes activités professionnelles, j'enseigne l'innovation à l’université en Suisse et au Japon à Tokyo. Retrouvez aussi mes articles en Anglais sur Medium à l'adresse: https://medium.com/@laurentbalmelli