Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport

Vous avez été victime d'une Breach ?

|
Nous contacter
|
+1 855 426 3983
Blogue
/
Segmentation Zero Trust

John Kindervag explique ce que les responsables de la sécurité ignorent encore à propos de Zero Trust

Charlie Bedell
,
Spécialiste principal du marketing de contenu
June 18, 2025
23 min. de lecture

John Kindervag n'avait pas l'intention de créer un mouvement. Il pensait juste que le pare-feu était stupide.

À l'époque, les pare-feux particuliers avec lesquels il travaillait attribuaient des niveaux de confiance à chaque interface. Si vous deviez passer du côté « fiable » du réseau au côté « non fiable », vous n'aviez même pas besoin d'une règle.

John, qui était alors testeur d'intrusion, savait exactement à quel point c'était dangereux. Et lorsqu'il a pris la parole, il a été critiqué par le client, son entreprise et le fournisseur de pare-feu.

Mais il n'arrivait pas à se faire une idée : pourquoi construisons-nous des réseaux sur la base de quelque chose d'aussi vague (et franchement, dénué de sens) que la « confiance » ?

Headshots of John Kindervag and Dr. Chase Cunningham

Cette question a donné naissance à ce que nous appelons aujourd'hui Zero Trust. Et des décennies plus tard, John, aujourd'hui évangéliste en chef d'Illumio, continue de démolir des hypothèses dépassées et d'inciter le secteur de la cybersécurité à penser différemment.

Dans cet article de blog, nous allons expliquer les enseignements tirés de la récente conversation de John avec le Dr Chase Cunningham sur le Pas de confiance un podcast, De la théorie à la pratique : le parcours Zero Trust avec John Kindervag et le Dr Chase Cunningham, où il a partagé les principes clés du Zero Trust, selon lui, des responsables de la sécurité toujours absents.

Fini les centres à mâcher : la naissance de Zero Trust

Lorsque John a rejoint Forrester, il a enfin eu l'espace nécessaire pour explorer cette grande idée, et la formation des analystes de l'entreprise l'a encouragée.

« Ils ont écrit notre description de poste sur le tableau blanc », a-t-il déclaré. « Ayez de grandes idées. » J'ai donc dit que je voulais étudier la confiance dans les systèmes numériques. »

Cela a donné lieu à deux années de recherches primaires, y compris des conversations avec le Forum de Jéricho (qui s'opposait initialement à Zero Trust), des architectures prototypes et des discussions interminables de la part d'experts du secteur qui tentaient de déchiffrer le concept.

Mais personne ne le pouvait.

Finalement, John a publié son article novateur, Plus de centres à mâcher, présentant Zero Trust. Un document de suivi, Intégrez la sécurité à l'ADN de votre réseau : l'architecture réseau Zero Trust, a présenté une vision qui mettait l'accent segmentation, un concept que John considère depuis longtemps comme étant au cœur de Zero Trust.

« Pour protéger une surface, il faut la segmenter », a-t-il déclaré. « C'est pourquoi je suis chez Illumio maintenant. »

L'iceberg de visibilité

Si Confiance zéro a l'impression qu'il a soudainement fait irruption sur scène il y a quelques années. John dit que vous ne voyez que la pointe de l'iceberg.

« Les gens pensent qu'il a été relancé en 2021, mais il a toujours existé », a-t-il expliqué. « Tu n'avais tout simplement pas de visibilité. »

Il pointe du doigt le Atteinte à Target en 2013 et le Violation OPM en 2015 comme des moments critiques qui ont placé Zero Trust sur le radar des agences gouvernementales américaines.

Dans les coulisses, l'adoption a commencé à faire boule de neige, en particulier dans les milieux fédéraux. Mais les entreprises étaient réticentes à l'idée de l'admettre.

« Lorsque j'ai demandé à réaliser des études de cas, les équipes juridiques et de relations publiques ont refusé », a-t-il répondu. « Nous ne voulons pas que les gens sachent que nous faisons Zero Trust. Cela pourrait faire de nous une cible. »

Tout a changé avec Décret exécutif de 2021 du président Biden imposant Zero Trust aux agences fédérales. Soudain, ce qui avait été un mouvement discret a pris de l'ampleur auprès de l'opinion publique.

« Je ne suis plus les menaces »

L'une des croyances les plus contre-intuitives de John est qu'il ne suit pas les menaces.

« Je n'étudie pas les dernières malware ou des campagnes d'attaques », a-t-il déclaré. « Parce que dans un environnement Zero Trust bien conçu, ils n'ont pas d'importance. »

Pourquoi ? Parce que Zero Trust part du principe que les failles sont inévitables et met en place des contrôles visant à protéger ce qui compte au lieu de suivre chaque alerte.

« Dans un environnement Zero Trust, aucune politique n'autorise une ressource inconnue d'Internet à déposer une charge utile inconnue sur votre surface protégée », a-t-il expliqué.

Je n'étudie pas les derniers programmes malveillants ou les dernières campagnes d'attaques, car dans un environnement Zero Trust bien conçu, cela n'a pas d'importance.

Les protocoles utilisés par les attaquants n'ont pas changé. Et les mêmes vecteurs d'attaque de base, tels que les liens de phishing ou les mauvais mots de passe, continuent de dominer.

« Les attaquants utilisent toujours les mêmes outils qu'il y a 20 ans », a-t-il déclaré. « Ce n'est pas le monde cinétique. Dans le cyberespace, ils sont toujours bloqués dans les mêmes rails TCP/IP. »

Au lieu de rechercher des informations sur les menaces, John se concentre sur des politiques applicables et protège les surfaces.

Zero Trust ne consiste pas nécessairement à réagir plus rapidement. Il s'agit en premier lieu de supprimer les options de l'attaquant.

Oubliez les piliers : suivez le modèle en 5 étapes pour Zero Trust

L'une des raisons pour lesquelles tant d'initiatives Zero Trust sont bloquées est que les organisations essaient de suivre des cadres rigides remplis de mots à la mode et de piliers. John dit qu'il est temps de simplifier.

« J'utilise le modèle en cinq étapes. Toujours. Commencez par la surface de protection, et non par une liste de produits », a-t-il encouragé.

Les cinq étapes, décrites dans des publications gouvernementales comme le Rapport du NSTAC au président sur la confiance zéro et la gestion fiable des identités, y compris :

  1. Définissez la surface de protection
  2. Cartographie des flux de transactions
  3. Créez une architecture Zero Trust
  4. Créer une politique
  5. Surveiller et maintenir

John met en garde contre toute tentative de lutte contre le Zero Trust d'un seul coup ou contre le fait de penser qu'il s'agit d'un parcours de maturité linéaire.

« Les gens pensent : « Nous allons d'abord nous occuper de l'identité, puis des appareils, puis du réseau », a-t-il dit. « Vous n'arriverez jamais à rien de cette façon. »

Il recommande plutôt aux équipes de diviser le projet en surfaces protégées, qui sont de petits segments de grande valeur de votre réseau qui peuvent être sécurisés de bout en bout.

Et commencez toujours par la question la plus importante : que protégeons-nous ?

Zero Trust est un impératif de leadership

Lorsqu'on lui a demandé comment maintenir la dynamique de Zero Trust, John a répondu une vérité simple : « Obtenir l'adhésion des dirigeants. Tout change quand ils sont à bord. »

C'est ce qui transforme les incitations mal alignées en alignement.

« Beaucoup de personnes m'ont dit : « Nous ne ferons jamais Zero Trust ici ». Puis le PDG dit que nous sommes en train de le faire, et tout à coup, cela se produit. »

Le seul moyen de changer d'état d'esprit pour passer des achats de titres à court terme à une stratégie à long terme ? Faites-en une priorité de leadership.

« La cybersécurité n'est pas un poste budgétaire trimestriel », explique John. « C'est ce qui gère votre entreprise. » Ou comme il l'a dit sans ambages : « Si l'ordinateur tombe en panne, les avions ne volent pas ».

La cybersécurité n'est pas un poste budgétaire trimestriel. C'est ce qui gère votre entreprise.

Zero Trust : pas tendance ou optionnel

Zero Trust s'est généralisé. Vous le voyez dans les mandats gouvernementaux, les campagnes des fournisseurs et les livres blancs tape-à-l'œil. Mais la plupart passent à côté de l'essentiel.

Ce que John Kindervag partage, et ce depuis près de 20 ans, n'est pas un argumentaire de produit ou un cadre marketing. C'est un changement de mentalité. Une solution qui oblige les organisations à cesser de réagir et à commencer à concevoir. Une stratégie qui repose sur une véritable stratégie, et non sur des dépenses fondées sur la peur.

Dans un monde d'attaques constantes, d'outils qui se chevauchent et de pressions pour agir rapidement, la voix de John est solide. Cela nous rappelle que la cybersécurité ne consiste pas à suivre les tendances, mais à protéger ce qui compte le plus.

C'est exactement pourquoi Zero Trust n'est plus facultatif. C'est une antifragilité opérationnelle, de par sa conception.

Vous voulez écouter d'autres podcasts de leaders de Zero Trust comme John ? Abonnez-vous à notre podcast primé Le segment : un podcast sur le leadership Zero Trust.

Sujets connexes

Cyber-résilience

Articles connexes

Mouvement latéral : comment résoudre le plus gros risque du cloud
Segmentation Zero Trust

Mouvement latéral : comment résoudre le plus gros risque du cloud

Découvrez pourquoi il est si facile pour les attaquants de se déplacer latéralement dans le cloud, les quatre erreurs de sécurité du cloud qui leur facilitent encore plus la tâche et comment la microsegmentation est essentielle pour stopper les mouvements latéraux.

En savoir plus
Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio
Segmentation Zero Trust

Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio

Regardez cette vidéo avec Kerry Peirse qui explique comment Cathay Pacific a mis en œuvre la microsegmentation en moins de 3 mois. Arrêtez les mouvements latéraux, répondez aux exigences de conformité.

En savoir plus
Segmentation Zero Trust : sécurité pour les entreprises hybrides
Segmentation Zero Trust

Segmentation Zero Trust : sécurité pour les entreprises hybrides

Gautam Mehandru, vice-président mondial des produits, des solutions et du marketing technique d'Illumio, partage ses réflexions sur l'entreprise hybride et les véritables entreprises zéro.

En savoir plus
John Kindervag raconte l'histoire d'origine de Zero Trust
Segmentation Zero Trust

John Kindervag raconte l'histoire d'origine de Zero Trust

Découvrez comment John Kindervag a débuté avec Zero Trust, ses premières recherches sur les meilleures pratiques Zero Trust et ses conseils aux organisations dans leur parcours Zero Trust.

En savoir plus
Zero Trust en pratique avec le créateur John Kindervag et le CISO Jared Nussbaum
Segmentation Zero Trust

Zero Trust en pratique avec le créateur John Kindervag et le CISO Jared Nussbaum

Découvrez les principales informations issues d'une puissante conversation sur le RSAC 2025 entre deux leaders de Zero Trust sur la manière dont la stratégie, la segmentation et l'alignement des activités permettent à Zero Trust de fonctionner dans le monde réel.

En savoir plus
5 mythes sur la confiance zéro démystifiés par John Kindervag et Michael Farnum
Segmentation Zero Trust

5 mythes sur la confiance zéro démystifiés par John Kindervag et Michael Farnum

Découvrez les points de vue de John Kindervag, créateur de Zero Trust et évangéliste en chef d'Illumio, et de Michael Farnum, CISO consultant chez Trace3, sur les mythes Zero Trust les plus courants qu'ils rencontrent dans le secteur et sur les vérités qui les sous-tendent.

En savoir plus

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus