Et si le Zero Trust ne consistait pas à se méfier des gens, mais plutôt à affronter les risques de front et à raisonner comme un assaillant? Dans cette interview, Chase Cunningham, alias Dr Zero Trust, explique que l’objectif est de minimiser les risques et d’adopter une approche offensive pour atteindre les objectifs de cybersécurité.
Chase Cunningham, beaucoup de gens semblent mal comprendre ce qu’est exactement le Zero Trust. Quelles sont les incompréhensions les plus courantes?
La plupart des gens, lorsqu’ils pensent au Zero Trust, commettent l’erreur de croire que cela signifie que nous ne faisons pas confiance aux individus. Ce n’est absolument pas le cas. Ce que nous disons, c’est que nous ne pouvons pas être certains que quelqu’un ou quelque chose au sein de l’organisation ne présentera pas de risque. Notre objectif est d’atténuer ce risque. En tant que professionnel de la cybersécurité, je trouve déconcertant que, malgré des décennies de preuves démontrant que nous ne devrions pas faire aveuglément confiance aux systèmes et aux personnes, nous continuions à débattre de ce point. Les compromissions sont causées à la fois par les personnes et les machines, et les mouvements latéraux peuvent être dévastateurs. Nous devons aller au-delà de cette pensée qui n’a plus lieu d’être.
Vous arrive-t-il de voyager en avion?
Oui, de temps en temps.
Lorsque vous prenez l’avion, vous êtes dans un environnement Zero Trust pendant tout le trajet, même si la plupart des gens ne s’en rendent pas compte. À l’aéroport, vous êtes contrôlés à plusieurs reprises. Vous passez par la sécurité, où tout ce que vous avez sur vous est vérifié. Lorsque vous montez à bord de l’avion, votre billet garantit que vous êtes un passager, et non le pilote, et vous vous asseyez sur le siège qui vous a été attribué. Une fois le vol terminé, vous débarquez et fin de l’histoire. L’ensemble du processus est une démarche Zero Trust. Il n’est pas si ennuyeux que les gens évitent de prendre l’avion; c’est parce qu’il existe un risque et une valeur exceptionnels dans la transaction que nous prenons des mesures pour atténuer ces risques. Je trouve amusant que les gens s’opposent encore à cette approche.
Vous dites que le Zero Trust est une stratégie, et non quelque chose que l’on peut acheter simplement comme un produit. Les cadres et les dirigeants se concentrent souvent sur les outils, mais pour le Zero Trust, ils doivent changer leur façon de raisonner. Comment cela fonctionne-t-il?
L’aspect intéressant du Zero Trust est qu’il ne s’agit pas d’une question technologique. La technologie nécessaire existe déjà; il s’agit simplement de l’utiliser correctement. L’erreur que commettent la plupart des gens est d’aborder les choses selon une approche défensive, ce qui est inefficace en matière de cybersécurité. Vous devez penser de manière offensive – où pouvez-vous affronter vos adversaires et les prendre de vitesse? Vous devez vous rendre plus difficile à atteindre afin que vos assaillants changent de cible. Cela nécessite un changement de mentalité.
Pendant des décennies, nous avons cru que construire des murs toujours plus hauts et acquérir de nouvelles technologies encore plus sophistiquées finiraient par empêcher toute compromission. Cette approche ne fonctionne pas. Tout ce qui est conçu peut faire l’objet d’une ingénierie inverse, et des violations se produiront toujours. Le véritable objectif est d’accepter que les compromissions sont inévitables, puis d’allouer des ressources et des outils pour affronter l’adversaire. Le but est de rendre leur cible non rentable, car ils fonctionnent sur un modèle d’affaires.
«L’erreur que commettent la plupart des gens est d’aborder la cybersécurité selon une approche défensive.»
Chase Cunningham
Dans de nombreuses organisations, la cybersécurité est considérée comme un facteur de coût ou une forme d’assurance, de sorte qu’il y a des réticences à investir suffisamment dans la sécurité. Comment les professionnels de la cybersécurité peuvent-ils obtenir le soutien de la direction pour leurs propositions ou leurs plans?
Pendant de nombreuses années, les services de sécurité ont bénéficié d’un chèque en blanc. Cette époque est révolue, car la direction attend désormais un retour sur investissement. C’est ce qui rend la stratégie Zero Trust si intéressante. Les organisations qui adoptent une stratégie Zero Trust libèrent souvent des fonds en éliminant des actifs qui n’apportent aucune valeur ajoutée et ne contribuent pas à arrêter les auteurs d’attaques.
Les stratèges examinent le problème et déterminent le minimum nécessaire pour éliminer ou réduire la menace. C’est la bonne approche. Nous devons arrêter de dire «Donnez-moi plus et j’aurai assez pour mettre fin aux attaques».
Un autre calcul que la direction doit prendre en compte est le coût de la sécurité par rapport au coût d’une violation. Réfléchissez à la durée de la perturbation de l’activité et aux pertes financières occasionnées pendant le temps d’arrêt. C’est le calcul que vous devez faire.
Il s’agit donc essentiellement de gestion des risques?
Oui, de gestion des risques et de productivité. C’est l’objectif vers lequel nous tendons tous.
Qu’en est-il du changement culturel dans les organisations lors de l’introduction du Zero Trust?
Une stratégie Zero Trust peut changer la façon dont les gens pensent ou travaillent. Il faut un certain niveau de sensibilisation à la sécurité pour comprendre ce qui se passe et pourquoi c’est nécessaire – par exemple, pourquoi vous devez classer vos documents. Personne n’aime ça, moi y compris.
Il existe différentes façons de penser sur ce point. D’après mon expérience, je pense que la sensibilisation à la sécurité est souvent trop mise en avant comme une mesure de contrôle. Si nous organisons des formations sur l’hameçonnage et des programmes de sensibilisation à la sécurité, les gens seront mieux informés et mieux à même d’éviter les pièges. Ce n’est pas nécessairement une mauvaise chose, mais ce n’est pas un moyen de contrôle. Les gens continuent de se faire piéger par des attaques de phishing. Le mot de passe le plus courant en 2025 teste «1234567». Nous ne progressons pas beaucoup en ce qui concerne l’aspect humain.
Mon point de vue diffère de celui de beaucoup d’autres: je ne veux pas que les gens deviennent des experts en sécurité; je veux qu’ils travaillent en toute sécurité. C’est ce que nous essayons d’atteindre avec la bonne technologie, alignée sur la stratégie. Les gens doivent être en mesure de faire leur travail, et la sécurité doit pouvoir s’effectuer de manière transparente en arrière-plan.
J’aimerais évoquer les PME. Souvent, elles ne disposent pas de leur propre service de sécurité ou de TI et s’appuient sur des partenaires informatiques. Comment une PME peut-elle mettre en place une stratégie Zero Trust si elle ne dispose pas des fonds ou de l’expertise nécessaires?
Il y a deux façons d’aborder ce problème. Tout d’abord, si vous ne pouvez pas y consacrer les ressources et le temps nécessaires, faites appel à un prestataire de services de sécurité gérés. Cela permettra de réaliser des économies et, en cas de problème, vous aurez quelqu’un pour vous aider à rétablir la situation. Dans huit cas sur dix, je conseille aux organisations de ce secteur de trouver un partenaire pour les aider à mettre en place une stratégie Zero Trust.
Si vous souhaitez vous en charger vous-même, vous trouverez de nombreux documents de recherche pour vous guider. Je vous recommande d’opter pour des solutions cloud et de vous concentrer sur les bases. L’un des plus grands risques liés aux ransomwares dans les PME est PowerShell sur les machines Windows. Si vous voulez réduire cette menace, désactivez PowerShell sur ces machines. Cette simple mesure peut faire toute la différence. Beaucoup de tâches qui semblent difficiles ne le sont pas, mais c’est là que l’état d’esprit doit changer: comment les assaillants s’y prennent-ils, et quelles mesures simples pouvez-vous mettre en place pour rendre leurs actions moins intéressantes pour eux? Vous ne pourrez jamais éliminer complètement les violations ou les risques, mais vous pouvez les réduire autant que possible.
S’agit-il donc souvent d’un manque de connaissances de base en matière de sécurité?
Nous appelons cela «bloquer et contrer». Si vous excellez dans ces pratiques fondamentales, vous avez probablement une longueur d’avance sur la plupart des autres. Placez-vous du point de vue de l’assaillant: je suis un cambrioleur et je roule dans une rue, je vois deux maisons – une avec trois Dobermans, des caméras de sécurité partout, et une haute clôture, et une autre sans rien du tout. Quelle maison vais-je cibler? La réponse est évidente.
Dans l’univers du Zero Trust, les concepts de résilience et de dissuasion sont de plus en plus reconnus. Je veux me remettre rapidement et continuer à travailler, et je peux accepter certaines compromissions car elles sont anticipées. Je veux dissuader mes adversaires, leur faire comprendre que m’attaquer ne sera pas une partie de plaisir.
Cela signifie donc que l’objectif est d’arrêter l’assaillant et de se remettre d’un incident le plus rapidement possible?
Exactement. Il existe aussi un concept qui gagne du terrain dans la stratégie Zero Trust, emprunté à l’armée, appelé «espace contesté». Il y a des systèmes que je ne pourrai jamais sécuriser ou contrôler complètement. Je les isole, je les segmente et je maintiens le plus de commandement et de contrôle possible, mais je ne gaspille pas de ressources pour eux.
S’agit-il d’accepter le risque le cas échéant?
Tout à fait. On fait tous ça. À un moment donné, vous devez accepter un certain niveau de risque. Si je peux isoler le risque réel pour cet espace contesté et garder confiance en ce que je peux contrôler, alors je le fais bien. Il existe un dicton célèbre qui dit: «Si tout est prioritaire, alors rien ne l’est.» Vous devez établir des priorités et calculer les risques en conséquence. Depuis des années, les conversations s’animent autour de ce que l’on appelle les Crown Jewels (joyaux de la couronne, les actifs essentiels d’une entreprise, ndlr) et du Zero Trust. Je comprends cela, mais en tant que stratège, je préfère l’expression «centre de gravité». Vous ne savez peut-être pas quels sont les véritables joyaux de votre structure, mais la plupart des gens savent où se trouve le centre de gravité de leur entreprise. Si je demandais à Swisscom quelle était sa propriété intellectuelle la plus précieuse, la réponse ne serait pas forcément évidente. Mais si je lui demandais quel était son centre de gravité – le groupe, l’infrastructure ou l’actif le plus important – elle serait probablement capable de me le dire.
Le Zero Trust avec Swisscom
Faites passer la protection de votre entreprise à un niveau supérieur grâce à une approche Zero Trust. Swisscom propose une gamme complète de services et de conseils aux PME et aux grandes entreprises pour vous aider à mettre en œuvre votre stratégie Zero Trust.
Pour les grandes entreprises:
∙ Protégez vos environnements réseau et cloud
∙ Protégez vos applications Web et votre DNS des attaques DDoS
∙ Embarquez dans le Journey Zero Trust avec nos experts-conseils
Pour les PME:
Protégez tous vos appareils et réseaux avec beem et sécurisez l’accès aux environnements cloud. Bénéficiez d’un réseau d’entreprise sécurisé pour votre PME avec beemNet.
Je me demande parfois pourquoi, si tout le monde est si compétent en matière de sécurité, des attaques continuent de se produire.
Parce que les priorités sont mal définies, et c’est pourquoi l’approche défensive est problématique. Nous devons raisonner de manière offensive et accepter la réalité. C’est le concept le plus difficile à comprendre pour les gens.
Parlons du côté offensif. J’aime votre idée selon laquelle les assaillants voient les organisations comme des graphes. Si je comprends bien, de l’extérieur, ils voient les connexions réseau entre les appareils et cherchent les points faibles à exploiter par le biais de mouvements latéraux. Mais ils n’ont pas une vue d’ensemble complète de l’infrastructure. Vous conseillez aux entreprises de connaître leur propre carte. Qu’est-ce qui, de votre point de vue, devrait figurer sur cette carte, et comment commencer à la construire?
Quand vous entreprenez un voyage, vous avez besoin d’une carte pour vous montrer le chemin. La plupart des organisations ne disposent pas d’un inventaire complet de leurs actifs et ne savent pas ce qui est connecté au sein de leur infrastructure. Avec l’ajout de Slack, de l’IA, des GPT et de services cloud, l’ensemble devient confus. Pour vous défendre efficacement, vous devez comprendre le terrain. Votre carte n’a pas besoin d’être parfaite, mais elle doit être meilleure que celle de l’assaillant. Les graphes de sécurité, comme décrit dans mon livre «Think Like an Attacker» (Raisonnez comme un assaillant), sont inestimables. La théorie des graphes nous a littéralement permis de traquer nos adversaires en Irak et en Afghanistan.
Je ne suis pas sûr de comprendre l’expression dumpster chicken («parasite») tirée de votre livre «How NOT to Lead» («Comment ne PAS diriger»). Quel est l’impact sur la cybersécurité lorsque les dirigeants ne prennent pas de décisions claires?
Cela conduit à un lent déclin. Si vous entendez constamment «non», «nous ne pouvons pas», ou «ceci ne fonctionnera pas», vous finissez par vous résigner et laisser les choses se faire. Ce n’est pas la bonne approche, surtout dans un domaine aussi critique que la cybersécurité. Dans mon livre, l’expression dumpster chicken doit se voir comme une leçon à tirer pour un dirigeant: si vous présentez un problème, vous devez proposer une solution avant de partir. Ce n’est peut-être pas la solution parfaite, mais elle doit proposer une voie à suivre. Beaucoup d’entre nous, dans l’univers de la technologie, raisonnent de façon binaire – c’est blanc ou c’est noir – mais nous devons accepter les zones grises et trouver des moyens de surmonter les obstacles. Les dirigeants doivent être disposés à le faire.
«Depuis des années, les conversations s’animent autour de ce que l’on appelle les ‹Crown Jewels› et du Zero Trust. Je comprends cela, mais en tant que stratège, je préfère l’expression ‹centre de gravité›».
Chase Cunningham
Les gestionnaires raisonnent souvent en termes de coûts – combien cela coûte-t-il, et combien cela coûte-t-il si nous n’agissons pas? Lorsque je parle avec des professionnels de la cybersécurité chez Swisscom, ils me disent souvent que le défi consiste à traduire le jargon technique dans un langage compréhensible par les managers.
C’est un défi pour tout le monde. Beaucoup d’entre nous dans le domaine de la technologie ne sont pas doués pour parler «business». J’ai moi-même dû apprendre à communiquer en termes commerciaux, et j’apprends encore. De notre point de vue, nous devrions nous concentrer sur l’apprentissage du langage des affaires.
Avez-vous déjà entendu parler de la kill chain de Lockheed Martin? Dans les ateliers, j’explique aux participants ce qu’est une kill chain – un concept cybernétique très technique – puis je leur présente un modèle commercial de la Harvard Business School. Je mets en parallèle le modèle de vente et la kill chain, qui ne sont finalement pas si différents. Il s’agit d’un processus, d’une méthodologie, d’un résultat. En général, les professionnels présents dans la salle comprennent immédiatement, car nous avons traduit ces concepts dans leur langage.
À propos de Chase Cunningham, «Dr Zero Trust»
Chase Cunningham est connu sous le nom de «Dr Zero Trust», ancien membre de la NSA et de la Navy, auteur à succès, podcasteur et l’une des voix les plus influentes de la cybersécurité moderne. Il fait partie des inventeurs de l’approche Zero Trust et, entre autres réalisations, a développé le cadre Zero Trust Extended (ZTX) chez Forrester Research.