Laurent GRANGEAU

Avec l’arrivée du COVID, les entreprises ont dû accélérer l’adoption du télétravail et ont vu l’augmentation du nombre de partenaires externes avec l’ouverture de son SI, ce qui nécessite de revoir la sécurité périmétrique des infrastructures. La démarche Zero Trust consiste à réduire la « confiance implicite » accordée aux utilisateurs et aux activités menées par le biais des équipements du SI. Pour garantir cette confiance, les entreprises ont pris le parti de se baser sur l’identité des utilisateurs pour vérifier et les authentifier sur l’ensemble des ressources accessibles. Dans cette session, nous ferons un bref rappel de ce qu’est la sécurité périmétrique (VPN, firewall, zoning réseau, …). Nous présenterons ensuite les grands principes du Zero Trust tel que le least privilege access, la microsegmentation réseau, l’authentification multi-facteur, etc. Nous comparerons aussi la sécurité périmétrique (modèle du château fort) avec celle de l’approche Zero Trust (modèle de l'aéroport) ; et nous reviendrons sur les différents modèles d'autorisation (MAC, RBAC, ABAC). Enfin, nous montrerons des exemples d’implémentation Zero Trust à travers des produits comme Boundary d’Hashicorp.