Architecture sécurité
Zero Trust (cybersécurité)
Le Zero Trust est un modèle d'architecture de sécurité reposant sur le principe « ne jamais faire confiance, toujours vérifier ». L'objectif principal du modèle Zero Trust est de réduire la confiance implicite accordée à un sujet, qu'il soit utilisateur, équipement ou application. Contrairement à la logique périmétrique traditionnelle où tout actif situé à l'intérieur du réseau de l'entité est réputé de confiance, Zero trust assumes there is no implicit trust granted to assets or user accounts based solely on their physical or network location. Chaque demande d'accès doit être authentifiée, autorisée et vérifiée de manière granulaire, dynamique et continue.
Origine et contexte
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources. Le modèle a été formalisé par le NIST dans la publication SP 800-207 (août 2020). Avec l'accroissement des usages liés au télétravail, à la pratique du « Bring Your Own Device » (BYOD) et aux accès hétérogènes à des services on-premise ou dans le cloud, les produits dérivés du modèle Zero Trust sont promus par les éditeurs.
Selon l'ANSSI, ce modèle s'inscrit dans une logique de défense en profondeur, mais marque une rupture avec la stricte sécurité périmétrique qui a prévalu pendant des années. Les contrôles doivent être granulaires et dynamiques : l'accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour réaliser la tâche ; les demandes d'accès doivent être contrôlées avec la même attention quelles que soient leurs origines. Le modèle repose sur l'analyse comportementale de l'utilisateur, le contexte d'accès et des réévaluations régulières.
Lien avec NIS2
Mandating zero-trust as a basic practice of cybersecurity hygiene is one of them. "Essential and important entities should adopt a wide range of basic cyber hygiene practices, such as zero-trust principles", comme indiqué au considérant 89 de la directive NIS2. Bien que le texte NIS2 ne détaille pas techniquement le modèle, Preamble 89 of the NIS2 directive specifically instructs organizations to adopt zero trust principles, along with other elements of basic cybersecurity hygiene.
Le modèle Zero Trust répond directement aux exigences de l'article 21 §2 de NIS2, qui impose des mesures proportionnées de gestion du risque cyber : contrôles d'accès, authentification multifactorielle, segmentation réseau, gestion des identités et surveillance continue. Zero trust aligns with the goals of NIS2 because preventing unauthorized access dramatically reduces the risk of data breaches or security incidents. La mise en œuvre d'une architecture Zero Trust facilite la conformité aux obligations de notification d'incidents et aux exigences de continuité d'activité.
Retrouvez les mesures détaillées sur la page mesures techniques et organisationnelles.