La protection de l’entreprise, ses activités et ses informations contre les risques liés à l’utilisation de la technologie est souvent établie sur la base d’un modèle « périmétrique » qui prend en compte un (ou plusieurs) bâtiment, des murs, des fenêtres, des portes, etc. Dane ce modèle le travail est fait dans le bâtiment, on vérifie à l’entrée et après on fait confiance tout le temps.
La transformation des méthodes de travail et l’évolution numérique fait que ce modèle n’est plus adapté. Aujourd’hui on peut travailler de partout et tout le temps. On est 100 % connecté ! L’écosystème des PME comprend des environnements cloud, des services mobiles, des centres de données, des appareils IoT, des applications SaaS, un accès à distance pour les employés, des nombreux fournisseurs et partenaires commerciaux. Le modèle traditionnel n’est plus suffisant !
La manière de faire – dans ce monde de deep fake – est de ne jamais faire confiance et de vérifier tout le temps ! Chaque ressource est continuellement comparée à un jeu des exigences et à un flux d’informations en temps réelle des vulnérabilités et menaces connus pour s’assurer que chaque transaction technique et activité utilisateur est vérifiée et authentique. Cela s’appelle « Zero Trust »
Dans ce nouveau paradigme la protection de l’entreprise, ses activités et ses informations contre les risques liés à l’utilisation de la technologie est placé au niveau de chaque ressource.
Pour les PME, les avantages du Zero Trust sont clairs :
- Sécurité améliorée : Les risques d’une cyberattaque sont atténués par l’utilisation de contrôle d’accès granulaires en temps réelle.
- Rentabilité : Les dépenses sont maitrisées si les outils existants sont utilisés et qu’on priorise des actifs critiques.
- Résilience : Les impacts et temps d’arrêt opérationnels sont minimum car ces outils intègrent des flux en temps réel d’intelligence sur les menaces et vulnérabilités adaptés à votre environnement.
- Conformité réglementaire : Plus simple d’être conforme avec des règlementations tel que celle sur la Protection des Données (RGPD), NIS2 ou DORA.
Les PME font face à des défis uniques dans l’adoption de stratégies de cybersécurité avancées :
- Manque de clarté et transparence : De nombreuses solutions sont disponibles, mais il est très difficile de prendre de la hauteur et d’identifier celles adapter à son besoin.
- Ressources limitées : Des petites équipes informatiques et des budgets restreints entravent souvent les investissements proactifs en matière de technologies et de sécurité.
- Dépendance : Beaucoup de PME dépendent des prestataires de services managés, mais ont parfois du mal à évaluer leur expertise, et à faire confiance.
- Sous-estimation : Les priorités concurrentes de l’entreprise font souvent passer la cybersécurité au second plan, mais aussi « je ne suis pas concernée car trop petit ».
La feuille de route Zero Trust pour les PME
Le chemin vers le Zero Trust n’a pas à nous sous merger. Voici une méthodologie simple et applicable en cinq étapes :
Étape 1 : Inventorier et évaluer les actifs
Commencez par comprendre vos usages en identifiant l’ensemble des données, des applications, des équipements, des fournisseurs qui sont plus critiques pour le fonctionnement de votre entreprise. Cette étape est fondamentale car elle vous aide à focaliser nos efforts de sécurité là où ils comptent le plus. Cette étape est à la fois simple et chronophage. Conseil : Il est impossible d’être complet la première fois – c’est tout à fait normal – c’est itérative – c’est pour cela qu’il ne faut pas hésiter d’y revenir au fur et à mesure des étapes ci-dessous.
Étape 2 : Cartographier les flux de transactions
L’objectif est de comprendre comment vos information et données circulent. Cela peut être entre les utilisateurs, entre les applications et les systèmes, avec vos fournisseurs et clients. Idéalement il faudrait produire un schéma simple. Mais cela peut aussi être une liste ou quelque chose de plus complexe. Cette cartographie permet aussi de répondre à des questions tel que celles du RGPD. Conseil : Si vous ne savez pas comment démarrer – pensez à vos activités journalier – par exemple faire un devis ou commandez des pièces ou payez les salaires ou travaillez avec le comptable. Identifier pour chaque cas, les données, ou ils sont (serveur de fichier ou application), qui sont les employées en interne qui utilisent ces données, qui sont les fournisseurs / partenaires qui utilisent ces données et quel moyen vous utilisez pour les partager (OneDrive, SharePoint, eMail…)
Étape 3 : Concevoir votre architecture Zero Trust
Classez les informations issues de la cartographie à l’étape 3 selon l’impact sur l’entreprise d’une défaillance matérielle ou logicielle, d’une erreur, d’un vol ou perte, d’une attaque de type cyber et rançongiciel, de fraude au président etc. A partir de vos priorités vous allez concevoir vos besoins de sécurité. Concentrez-vous sur qui doit avoir accès à quoi, à quel moment (heure/jour), à partir d’où (France) et à partir de quel équipement (PC ou mobile) et logicielle (email ou CRM). Regrouper tous ces besoins d’accès et identifier les chemins critiques pour créer des contrôles alignés avec les priorités de votre entreprise.
Étape 4 : Contrôler les usages de votre système d’information
Mettez en œuvre des contrôles d’accès basés sur des besoins spécifique et regrouper les dans des rôles, utiliser de l’authentification multi-facteur sur l’ensemble des identifiants, mettez en places politiques de vérification strictes (le pays et lieux, la conformité de l’équipement, les sites web, le rôle de la personne, la méthode d’authentification, les protocoles, le type d’application) pour vous assurer que seuls les utilisateurs autorisés peuvent accéder aux ressources les plus sensibles. Conseil : Ces règles se développe de façon itérative. Une première peut être simple par exemple seul l’accès de la France est autorisé. Mais peut devenir complexe si par exemple d’un PC conforme aux règles de sécurité en France on peut accéder a tel ou tel application, alors d’un mobile personnel, non conforme en Ukraine l’accès est restreint et limiter aux emails si le client lourd est utilisé.
Étape 5 : Surveiller et maintenir
Le Zero Trust n’est pas une mise en œuvre ponctuelle. Il dépend sur beaucoup de télémétrie qui doit être revu régulièrement afin d’affiner vos politiques et vous permettre d’identifier rapidement et avec confiance des tentatives non-autorisés et malicieux. C’est itératif et progressif de nécessite de comprendre ses usages et le comportement de vos utilisateurs.
Gagner en efficacité rapidement pour prendre de l’élan. Pour les PME ayant un budget limité, commencer petit à petit peut offrir des gains immédiats. Exploitez les outils et technologies de vos offres existantes et concentrez-vous sur des gains rapides, tels que :
- Activer l’authentification multi-facteurs (MFA) sur tous vos comptes.
- Supprimer les comptes qui ne sont plus utilisés.
- Former les employés à identifier les tentatives de phishing grâce ou outils gratuit (e.g. Université BPI ou ANSSI)
Résilience grâce au Zero Trust
Mettre en œuvre le Zero Trust peut sembler intimidant, mais les récompenses sont bien supérieures aux efforts nécessaires, et vous redonne le contrôle. En prenant des mesures progressives et en tirant parti de l’expertise des fournisseurs de sécurité, les PME peuvent :
- Réduire la probabilité des violations de sécurité.
- Protéger les données critiques et maintenir la conformité réglementaire.
- Améliorer l’efficacité opérationnelle et renforcer la confiance des clients.
Conclusion
La cybersécurité n’est plus une option pour les PME ; c’est un impératif commercial. En adoptant le Zero Trust, vous pouvez transformer vos défis en matière de sécurité en une opportunité pour renforcer la résilience et sécuriser l’avenir de votre entreprise. Commencez petit, pensez grand, et faites le premier pas sur votre chemin Zero Trust aujourd’hui.
