Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Février 11, 2026
23 min. lire
Photo de Ross Haleliuk
Ross Haleliuk, cofondateur et PDG d'une startup de cybersécurité en mode furtif

Les principes fondamentaux de la sécurité échouent pour la même raison que la plupart des objectifs de remise en forme du Nouvel An.

Tout le monde sait ce qu'il faut faire. Vous devriez manger mieux, dormir davantage et faire de l'exercice régulièrement. Rien de tout cela n'est controversé ou nouveau.  

Et pourtant, en février ou mars, la plupart des abonnements à des salles de sport ne sont pas utilisés.

La cybersécurité fonctionne de la même manière.

Ce n'est pas parce que les attaquants font preuve d'une créativité infinie que nous sommes toujours victimes de violations. Nous sommes victimes de violations parce que les organisations ont du mal à faire les choses de base, de manière cohérente et à grande échelle. Et la confiance zéro, plus que tout autre modèle de sécurité, montre à quel point c'est difficile.

Cette réalité était au centre d'une récente conversation sur le podcast The Segment avec Ross Haleliuk. Ross est le cofondateur et le PDG d'une startup de cybersécurité en mode furtif, l'animateur du podcast Inside the Network, l'auteur de Cyber for Builders et la voix derrière la lettre d'information Venture and Security, l'une des perspectives les plus lucides du secteur.

Ce billet explique pourquoi la sécurité "Zero Trust" réussit ou échoue au niveau des fondamentaux, et pourquoi cette lacune est souvent ce qui détermine l'impact réel d'une violation.

Le mythe de la sécurité "nouvelle génération

Chaque année, l'industrie invente un nouveau langage pour décrire les innovations en matière de sécurité.

Mais comme le dit Ross, la plupart des violations ne sont pas le résultat de nouvelles chaînes d'attaque ou d'exploits exotiques de type "zero-day".

Au contraire, ils sont le résultat de :

  • Informations d'identification par défaut qui n'ont jamais été modifiées
  • Des atouts dont personne ne se souvenait
  • Exceptions ajoutées par commodité et oubliées au fil du temps
  • Des réseaux plats qui permettent des mouvements latéraux une fois qu'un attaquant s'y est introduit.

Il ne s'agit pas de défaillances de pointe, mais plutôt de simples défaillances opérationnelles.

Une stratégie de confiance zéro n' élimine pas ces problèmes comme par magie. En fait, cela les rend plus visibles.  

La confiance zéro oblige les organisations à se confronter aux questions qu'elles ont évitées pendant des années : Que possédons-nous réellement ? Qui doit pouvoir parler à quoi ? Que se passe-t-il en cas de problème ?

C'est précisément pour cette raison que la confiance zéro peut sembler insurmontable.

Pourquoi les principes fondamentaux de la sécurité s'effondrent-ils à grande échelle ?

Pour bien faire, il faut trois choses : de l'engagement, de la constance et du temps.

Malheureusement, aucune de ces solutions n'est naturellement applicable dans les entreprises modernes.

Vous ne pouvez pas inventorier les actifs une fois par an et appeler cela le Trust Zéro. Vous ne pouvez pas réviser les autorisations d'identité une fois tous les deux ou trois trimestres et vous attendre à ce que l 'endiguement fonctionne. Vous ne pouvez pas appliquer des politiques de segmentation une fois pour toutes et supposer qu'elles resteront valables au fur et à mesure que les environnements changent.

Les fondamentaux exigent de la répétition, et la répétition coûte cher.

Il est beaucoup plus facile d'acheter un outil que de changer la façon dont les équipes fonctionnent jour après jour. Et il est beaucoup plus facile d'approuver un projet que d'imposer une discipline à l'ensemble des services d'ingénierie, d'informatique, d'exploitation et de sécurité.

La confiance zéro échoue lorsque les organisations sous-estiment l'effort opérationnel nécessaire pour la maintenir.

La confiance zéro est un problème d'incitation, pas un problème de connaissance

Les équipes de sécurité sont incitées à réduire les risques. Les équipes d'ingénieurs sont incitées à livrer du code. Les équipes informatiques sont incitées à fermer les tickets rapidement. Les équipes de vente sont incitées à conclure des affaires.

C'est là que la confiance zéro s'effondre souvent dans la pratique. Nous aimons à dire que la sécurité est l'affaire de tous. Mais en réalité, la sécurité est la seule équipe dont les résultats sont mesurés.

Il n'est pas réaliste d'attendre des autres équipes qu'elles accordent naturellement la priorité aux contrôles "Zero Trust" sans aligner les incitations.  

Les politiques ne suffisent pas à résoudre ce problème. En fait, elles créent souvent plus d'exceptions que d'applications.

La confiance zéro réussit lorsque les équipes de sécurité apprennent à diriger par l'influence. Ils établissent des relations, expliquent les compromis en termes commerciaux et conçoivent les contrôles comme des facilitateurs plutôt que des bloqueurs.

Mesurer le succès lorsque les violations sont inévitables

Cela soulève également la question de savoir comment nous mesurons les résultats en matière de sécurité au sein de l'entreprise. Selon M. Ross, les organisations ne sont souvent pas très performantes dans ce domaine.  

Il a fait référence à l'expérience de réflexion sur le problème de la licorne. Vous achetez une boîte qui s'allume si une licorne se trouve dans la pièce, mais elle ne s'allume pas. La boîte est-elle cassée ou n'y avait-il pas de licorne ? Vous ne pouvez pas savoir.

Si une violation ne se produit pas, est-ce parce que vos contrôles ont fonctionné ou parce que personne n'a fait assez d'efforts ?

La confiance zéro ne résout pas ce problème de mesure, mais elle le recadre.

L'objectif de la cybersécurité moderne n'est pas d'empêcher les failles à tout prix, mais plutôt de réduire leur impact, de les contenir et de préserver la résilience de l'entreprise.

Les organisations qui investissent systématiquement dans les principes fondamentaux peuvent quand même être victimes d'une violation. Mais lorsqu'ils le font, les mouvements latéraux sont limités, le rétablissement est plus rapide, les atteintes à la réputation sont moindres et les conversations sur la réglementation sont plus rationnelles.

La preuve du retour sur investissement de la sécurité fait de la confiance zéro une décision commerciale.

Le retour sur investissement en matière de sécurité est notoirement difficile à quantifier, mais M. Ross a proposé un cadre pragmatique qui s'aligne bien sur le concept de confiance zéro :

  • Si la confiance du client est liée au chiffre d'affaires, la sécurité devient un moteur de vente.
  • Si les temps d'arrêt menacent les opérations, la sécurité devient un investissement de résilience.
  • Si les règles de conformité exigent des preuves, la sécurité devient un enjeu de taille.

Dans tous les cas, la confiance zéro vise à réduire les effets d'une violation lorsqu'elle se produit inévitablement. Cela signifie que le retour sur investissement en matière de sécurité n'est pas mesuré en fonction des attaques évitées, mais en fonction de la continuité des activités préservée.

Pourquoi les principes fondamentaux de la confiance zéro sont-ils plus importants que jamais ?

Les infrastructures sont plus interconnectées que jamais. Les environnements hybrides brouillent les frontières traditionnelles. Les systèmes en nuage, sur site et tiers fonctionnent comme une surface d'attaque unique et étendue.

Dans ce monde, la complexité augmente les risques.

Les principes fondamentaux de la confiance zéro - notamment la visibilité des actifs, l'accès au moindre privilège, la segmentation et la vérification continue - ne sont pas seulement des bonnes pratiques, mais aussi des mécanismes de survie.

Les attaquants n'ont pas besoin d'être créatifs lorsque les organisations leur offrent des voies de moindre résistance. Ils exploitent ce qui existe déjà et utilisent l'IA pour rendre les choses presque sans effort.

Se concentrer sur les fondamentaux ne signifie pas rejeter l'innovation, mais plutôt l'ancrer dans la réalité.

Et comme pour le fitness, le plus difficile n'est pas de savoir ce qu'il faut faire, mais de le faire demain. Et le jour suivant. Et tous les jours suivants.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Février 11, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

Qu'attendez-vous ? Retarder la modernisation de la cybernétique vous met en danger
Cyber-résilience

Qu'attendez-vous ? Retarder la modernisation de la cybernétique vous met en danger

Découvrez pourquoi Tony Scott, ancien DSI de l'administration fédérale américaine, estime que le fait de retarder la modernisation cybernétique constitue un échec en matière de leadership et comment agir avant qu'une brèche ne vous force la main.

En savoir plus
Cyber-résilience
5 leçons de leadership en cybersécurité tirées de la carrière de plus de 30 ans de Carl Froggett, ancien RSSI de Citi
Cyber-résilience

5 leçons de leadership en cybersécurité tirées de la carrière de plus de 30 ans de Carl Froggett, ancien RSSI de Citi

Découvrez 5 leçons de leadership en cybersécurité de Carl Froggett, ancien CISO de Citi, tirées de 30 ans d'innovation, d'IA et de résilience.

En savoir plus
Cyber-résilience
Comment l'équipe de sécurité de 5 personnes de la Spokane Teachers Credit Union parvient à obtenir une grande confiance zéro
Cyber-résilience

Comment l'équipe de sécurité de 5 personnes de la Spokane Teachers Credit Union parvient à obtenir une grande confiance zéro

Découvrez comment une équipe réduite de 5 personnes de la Spokane Teachers Credit Union a réussi à atteindre la confiance zéro grâce à une stratégie intelligente, un travail d'équipe et l'adhésion de la direction.

En savoir plus
microsegmentation
PME
Banque & Services financiers
Ce que 2024 nous a appris sur l'élan du Federal Zero Trust - et ce qui nous attend en 2025
Cyber-résilience

Ce que 2024 nous a appris sur l'élan du Federal Zero Trust - et ce qui nous attend en 2025

Découvrez les principales leçons tirées de l'élan de la confiance zéro au niveau fédéral en 2024 et des idées pratiques pour 2025.

En savoir plus
Gouvernement
La résilience des infrastructures critiques commence par une confiance zéro
Cyber-résilience

La résilience des infrastructures critiques commence par une confiance zéro

De la violation de Colonial Pipeline à l'attaque par ransomware de JBS, l'année écoulée nous a montré que les cyberattaques contre les infrastructures essentielles des États-Unis sont plus incessantes, plus sophistiquées et plus percutantes que jamais, et qu'elles menacent trop souvent la stabilité économique et le bien-être des citoyens américains.

En savoir plus
Aucun élément n'a été trouvé.
Les 4 conseils d'un RSSI de l'industrie sur la prévention des brèches avec Illumio
Cyber-résilience

Les 4 conseils d'un RSSI de l'industrie sur la prévention des brèches avec Illumio

Découvrez les conseils de Jamie Rossato, RSSI de l'industrie, pour les organisations qui cherchent à se prémunir de manière proactive contre les brèches avec Illumio.

En savoir plus
Industrie

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights