Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Un ancien DSI de la Maison Blanche explique pourquoi la confiance zéro doit être conçue en fonction de la manière dont les gens travaillent réellement

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Avril 8, 2026
23 min. lire
Theresa Payton, ancienne DSI de la Maison Blanche et PDG de Fortalice Solutions

À la Maison Blanche, même quelque chose d'aussi simple qu'une liste de lecture musicale peut devenir un risque pour la sécurité.

Lors de ma conversation avec Theresa Payton, ancienne DSI de la Maison Blanche, dans un récent épisode du podcast The Segment, elle m'a raconté comment le président George W. Bush utilisait un iPod Shuffle pour partager de la musique avec ses filles. Le problème est que la mise à jour de la liste de lecture entraîne automatiquement sa diffusion publique.  

Ce qui semblait être une caractéristique inoffensive a créé une exposition potentielle.

La solution ne consistait pas à verrouiller l'appareil ou à en restreindre l'utilisation. Au lieu de cela, l'équipe de Theresa a conçu des protections invisibles autour de l'utilisateur. Comme elle l'a expliqué, ils ont dû "lui permettre de vivre sa vie tout en créant autour de lui des filets de sécurité qui étaient pratiquement invisibles".

Cette histoire illustre un aspect fondamental de la cybersécurité aujourd'hui.

Nous avons passé des années à concevoir la sécurité autour des systèmes, des contrôles et des exigences de conformité. Entre-temps, les attaquants se sont concentrés sur les personnes. Ils étudient le comportement et exploitent les frictions. Ils recherchent les écarts entre la façon dont la sécurité est conçue et la façon dont elle est réellement utilisée.

Pour que la confiance zéro produise des résultats concrets, il faut partir de l'histoire de l'utilisateur humain.

Les maths ne sont pas des maths. Et c'est bien là le problème.

Theresa estime que l'état actuel de la cybersécurité pose des problèmes majeurs.

Elle a souligné un déséquilibre flagrant : nous dépensons environ 240 milliards de dollars pour la cybersécurité, alors que les pertes liées à la cybercriminalité devraient atteindre 10,5 billions de dollars cette année.

Sa réaction a été simple : "Les maths ne sont pas des maths".

Cette lacune met en lumière un problème plus profond. Le secteur ne manque pas d'outils, de cadres ou de financements. Les résultats ne sont pas au rendez-vous.

Cela tient en grande partie à la façon dont nous avons abordé la question de la conformité. Les cadres sont nécessaires et les réglementations sont importantes. Mais ils ont involontairement façonné la façon dont les organisations conçoivent la sécurité.

Comme le dit Theresa, ces cadres sont "incroyablement bien intentionnés mais pourraient être la pire chose qui nous soit jamais arrivée".

Pourquoi ? Parce qu'ils encouragent l'utilisation d'une liste de contrôle.

Les organisations se concentrent sur le respect des exigences plutôt que sur la réduction des risques. Et les attaquants en profitent. Ils comprennent les contrôles et savent où se trouvent les lacunes. Il leur suffit donc de procéder à une rétro-ingénierie du système.

C'est là que la confiance zéro a été mal comprise.

Il ne s'agit pas de respecter une norme, mais de valider en permanence la confiance et de limiter l'exposition. La conformité peut vous dire ce qui est nécessaire, mais la confiance zéro vous oblige à vous demander ce qui est réellement efficace.

La sécurité est encore conçue pour les acheteurs, pas pour les utilisateurs

Theresa a également abordé un autre problème de l'industrie qui se cache à la vue de tous : la plupart des solutions de sécurité sont conçues pour l'acheteur, et non pour l'utilisateur.

Theresa a décrit comment les fournisseurs considèrent souvent l'acheteur comme le principal client, et non les personnes qui utilisent réellement la technologie au quotidien.

Cette distinction est essentielle. Lorsque la sécurité est conçue en fonction de l'approvisionnement plutôt que de l'utilisation, elle crée des frictions. Les frictions conduisent à des solutions de contournement.

Nous l'avons tous vu. Des politiques de mots de passe trop complexes. Les contrôles qui ralentissent les flux de travail. Des systèmes qui exigent des utilisateurs qu'ils pensent comme des experts en sécurité pour accomplir leur travail.

Theresa a résumé la situation par un scénario familier. Lorsque les gens apprennent que vous travaillez dans le domaine de la sécurité, ils ne vous remercient pas pour les contrôles complexes. Ils vous disent tout ce qu'ils détestent chez eux.

Cette déconnexion est plus qu'un problème d'utilisation. C'est un problème de sécurité.

Si les utilisateurs contournent les contrôles, ces derniers ne protègent rien.

La confiance zéro change la donne en mettant l'accent non plus sur la restriction, mais sur l'habilitation. Il s'agit de faire du chemin sûr le chemin le plus facile.

Concevoir pour les gens modifie le fonctionnement de Zero Trust

Qu'est-ce que cela signifie réellement de concevoir la sécurité en fonction des personnes ? Le conseil de Theresa était d'une simplicité rafraîchissante : observez.

"Asseyez-vous dans vos centres d'appel, sur les sites de vos clients et écoutez", a-t-elle déclaré. "Vous en apprendrez beaucoup sur ce qui ne fonctionne pas.

Ce point de vue est souvent négligé dans le domaine de la cybersécurité.

Nous passons du temps à modéliser les menaces et à mettre en place des contrôles, mais pas assez à comprendre comment ces contrôles interagissent avec les flux de travail réels.

Lorsque vous commencez à observer, des schémas se dessinent :

  • Là où les utilisateurs rencontrent des frictions
  • Là où les processus s'interrompent
  • Là où les gens créent des solutions de contournement

Ces signaux constituent la base d'une meilleure conception. C'est là que la confiance zéro devient pratique.

Au lieu d'appliquer des contrôles généraux et statiques, vous pouvez mettre en œuvre des politiques basées sur la façon dont les systèmes et les utilisateurs interagissent réellement. Vous pouvez appliquer le principe du moindre privilège avec précision et réduire l'exposition sans ralentir les gens.

La segmentation joue ici un rôle essentiel.

En comprenant les schémas de communication entre les systèmes, vous pouvez limiter les connexions inutiles. Si un élément est compromis, il ne peut pas se déplacer librement. Le rayon de l'explosion est contenu.

C'est ainsi que la confiance zéro permet d'obtenir des résultats concrets. Non pas en bloquant tout, mais en contrôlant ce qui est important.

Grâce à l'IA, il est impossible d'ignorer le problème humain

Si l'industrie pouvait auparavant ignorer cette lacune, ce n'est plus le cas aujourd'hui. L'IA force le trait.

Theresa a décrit l'IA comme "votre accès le plus privilégié et votre menace interne la plus inquiétante".

Les systèmes d'IA ont accès aux données, aux flux de travail et aux décisions à grande échelle. Ils agissent plus rapidement que les humains. Et dans de nombreux cas, ils sont déployés avec une surveillance limitée.

Cela crée un nouveau type de risque, non seulement en ce qui concerne l'utilisation abusive, mais aussi en ce qui concerne la visibilité et le contrôle.

Theresa a soulevé des questions clés que chaque organisation devrait se poser :

  • Disposez-vous de registres immuables de ce que fait l'intelligence artificielle ?
  • Pouvez-vous vérifier comment il a pris sa décision ?
  • Disposez-vous d'une gouvernance qui inclut la voix du client ?

Il s'agit de questions de confiance zéro.

Ils reviennent aux mêmes principes : vérifier en permanence, limiter l'accès et surveiller le comportement.

Et ils renforcent le besoin de visibilité.

Si vous ne comprenez pas comment l'IA interagit avec votre environnement, vous ne pouvez pas faire respecter les limites de confiance, détecter les anomalies ou limiter les risques.

La prochaine frontière : les données et le risque quantique

Au-delà de l'IA, Theresa voit un autre défi se profiler à l'horizon : l'informatique quantique.

Elle a souligné que de nombreuses organisations n'ont pas encore totalement pris en compte le cycle de vie de leurs données.

Toutes les données n'ont pas la même valeur. Certaines deviennent rapidement inutiles, tandis que d'autres restent sensibles pendant des années ou ont une valeur indéfinie.

Dans un monde post-quantique, cette distinction est importante. Si des données sont volées aujourd'hui et décryptées plus tard, l'impact reste réel.

Theresa l'a dit clairement : les organisations doivent comprendre "la véritable durée de vie des données et leur valeur dans le temps".

Cela nécessite une approche plus approfondie de la classification des données, du contrôle d'accès et de l'architecture.

Il renforce également l'importance de la confiance zéro.

Si vous limitez l'accès, surveillez l'utilisation et contrôlez les voies de communication, vous réduisez la probabilité d'une exposition à grande échelle. Même si des données sont compromises, leur impact est limité.

Ce que les responsables de la sécurité doivent faire en réponse

La bonne nouvelle, c'est que vous n'avez pas besoin de tout recommencer. Il vous suffit de changer d'orientation.  

Voici ce que Theresa a recommandé :

  • Considérez la conformité comme une base de référence et non comme un objectif. Elle devrait fournir une structure, mais elle ne garantit pas la résilience contre les menaces modernes.
  • Investissez dans la compréhension du fonctionnement réel de vos utilisateurs. Prenez le temps d'observer, d'écouter et d'identifier les frictions.
  • Donnez la priorité à la visibilité. Vous devez voir comment les systèmes communiquent et comment les données circulent.
  • Appliquer la loi de manière intelligente. Utilisez la segmentation pour appliquer le principe du moindre privilège là où c'est le plus important. Cela permettra de limiter les mouvements latéraux et de contenir les brèches à un stade précoce.

Ces idées ne sont pas nouvelles, mais elles doivent être appliquées ensemble. C'est là que la confiance zéro devient réelle.

La cybersécurité ne peut être résolue par la poursuite des mêmes actions

La cybersécurité est à un tournant. L'IA accélère les attaques. Quantum redéfinit le risque. Et l'écart entre les dépenses et les résultats continue de se creuser.

Nous ne pourrons pas combler ce fossé en continuant à faire la même chose.

Theresa a soulevé un point important. Le progrès ne se fera pas à la vitesse des machines. Cela se fera à la vitesse de la confiance et de l'apprentissage partagé.

Cela signifie que les organisations doivent repenser la manière dont elles conçoivent la sécurité, et pas seulement ce qu'elles déploient.

La confiance zéro offre une voie à suivre, mais seulement si elle est mise en œuvre avec le bon état d'esprit. Cet état d'esprit commence par la priorité donnée à la manière dont les gens l'utiliseront réellement.

Si la sécurité ne fonctionne pas pour l'utilisateur, elle ne fonctionne pas du tout. Et si nous n'y remédions pas maintenant, l'écart entre ce que nous dépensons et ce que nous protégeons ne cessera de se creuser.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Avril 8, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

L'exploitation de la confiance humaine est toujours plus efficace que le piratage de code (et l'aide apportée par la confiance zéro)
Cyber-résilience

L'exploitation de la confiance humaine est toujours plus efficace que le piratage de code (et l'aide apportée par la confiance zéro)

Découvrez comment les cybercriminels exploitent la confiance humaine par le biais de l'ingénierie sociale et pourquoi la confiance zéro est essentielle pour limiter les brèches et arrêter les mouvements latéraux.

En savoir plus
Cyber-résilience
Les agents d'IA deviennent des employés numériques. Voici comment Zero Trust les sécurise.
Cyber-résilience

Les agents d'IA deviennent des employés numériques. Voici comment Zero Trust les sécurise.

Découvrez comment Zero Trust sécurise les agents d'IA et les identités des machines tout en donnant aux organisations les garde-fous nécessaires pour gérer les systèmes autonomes.

En savoir plus
Cyber-résilience
De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles
Cyber-résilience

De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles

Découvrez comment les régulateurs remplacent la conformité à la liste de contrôle par la résilience opérationnelle, en exigeant des preuves de l'endiguement et de la réponse cybernétiques dans le cadre des règles réglementaires.

En savoir plus
Banque & Services financiers
Conformité
Le cyberlundi : Les joyaux de votre couronne sont-ils protégés pendant les fêtes de fin d'année ?
Cyber-résilience

Le cyberlundi : Les joyaux de votre couronne sont-ils protégés pendant les fêtes de fin d'année ?

Une protection adéquate n'est pas éphémère comme le glossaire des produits de vacances de Starbucks. Une bonne sécurité devrait être intégrée et prise en compte tout au long de l'année.

En savoir plus
Protection des biens de grande valeur
La nouvelle ligne de conduite de l'Australie : 5 nouvelles priorités de l'ASD et de l'AICD en matière de sécurité
Cyber-résilience

La nouvelle ligne de conduite de l'Australie : 5 nouvelles priorités de l'ASD et de l'AICD en matière de sécurité

Découvrez ce que les conseils d'administration australiens doivent savoir sur les nouvelles priorités de l'ASD et de l'AICD en matière de cybersécurité pour 2025-26 et comment Illumio aide les organisations à renforcer leur résilience et leur gouvernance.

En savoir plus
Cyber-résilience
Treffen Sie Illumio auf der it-sa Expo&Congress 2025
Cyber-résilience

Treffen Sie Illumio auf der it-sa Expo&Congress 2025

Die it-sa Expo&Congress ist Ihre Gelegenheit zu sehen, wie Illumio Organisationen dabei hilft, Sicherheitsverletzungen einzudämmen und eine bessere Cyber-Resilienz aufzubauen.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights