Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

John Kindervag sur ce que les responsables de la sécurité n'ont toujours pas compris à propos de la confiance zéro

Charlie Bedell
Responsable du marketing de contenu
Illumio Editorial
Juin 18, 2025
23 min. lire

John Kindervag n'a pas cherché à créer un mouvement. Il pensait simplement que le pare-feu était stupide.

À l'époque, les pare-feu particuliers avec lesquels il travaillait attribuaient des niveaux de confiance à chaque interface. Si vous passez du côté "fiable" du réseau au côté "non fiable", vous n'avez même pas besoin d'une règle.  

John, alors testeur de pénétration, savait exactement à quel point c'était dangereux. Et lorsqu'il s'est exprimé, il s'est attiré les foudres du client, de son entreprise et du fournisseur du pare-feu.

Mais il n'arrivait pas à se défaire de cette idée : Pourquoi construisions-nous des réseaux sur quelque chose d'aussi vague (et franchement dénué de sens) que la "confiance" ?

Photos de John Kindervag et du Dr. Chase Cunningham

Cette question a donné naissance à ce que nous appelons aujourd'hui la confiance zéro. Des décennies plus tard, John, aujourd'hui évangéliste en chef chez Illumio, continue de démolir les idées reçues et de pousser le secteur de la cybersécurité à penser différemment.

Dans ce billet de blog, nous allons décomposer la sagesse de la récente conversation de John avec le Dr. Chase Cunningham sur le podcast No Trust, From Theory to Practice : The Zero Trust Journey with John Kindervag and Dr. Chase Cunningham, où il a partagé les principes clés de Zero Trust qui, selon lui, manquent encore aux responsables de la sécurité.  

Fini les centres à mâcher : la naissance de Zero Trust

Lorsque John a rejoint Forrester, il a enfin eu l'espace nécessaire pour explorer cette grande idée, et la formation des analystes de la société l'a encouragé à le faire.

"Ils ont écrit notre description de poste sur le tableau blanc", a-t-il déclaré. "'Pensez grand'. J'ai donc décidé d'étudier la confiance dans les systèmes numériques".

Cela a conduit à deux années de recherche primaire, y compris des conversations avec le Jericho Forum (qui s'opposait à l'origine à Zero Trust), des prototypes d'architectures, et d'innombrables questions posées par des experts de l'industrie qui essayaient de briser le concept.

Mais aucun n'a pu le faire.

Finalement, John a publié son article révolutionnaire, No More Chewy Centers, introduisant la confiance zéro. Un document de suivi, intitulé Build Security Into Your Network's DNA : The Zero Trust Network Architecture, présente une vision qui met l'accent sur la segmentation, un concept que John considère depuis longtemps comme essentiel à la confiance zéro.

"Pour protéger une surface, il faut la segmenter", a-t-il déclaré. "C'est pour cela que je suis à Illumio maintenant.

L'iceberg de la visibilité

Si vous avez l'impression que la confiance zéro a soudainement fait son apparition il y a quelques années, John affirme que vous ne voyez que la partie émergée de l'iceberg.

"Les gens pensent qu'il a été ravivé en 2021, mais il a toujours existé", a-t-il expliqué. "Vous n'aviez tout simplement pas de visibilité".

Il cite la violation de Target en 2013 et celle d'OPM en 2015 comme étant des moments critiques qui ont mis Zero Trust sur le radar des agences gouvernementales américaines.  

En coulisses, l'adoption a commencé à faire boule de neige, surtout dans les milieux fédéraux. Mais les entreprises n'osaient pas l'admettre.

"Lorsque j'ai demandé à faire des études de cas, les équipes juridiques et de relations publiques ont refusé", a-t-il déclaré. "Nous ne voulons pas que les gens sachent que nous faisons du Zero Trust. Cela pourrait faire de nous une cible".

Tout cela a changé avec l'ordre exécutif du président Biden de 2021, qui a rendu obligatoire le principe de la confiance zéro pour les agences fédérales. Soudain, ce qui n'était qu'un mouvement discret a pris de l'ampleur auprès du public.

"Je ne suis plus les menaces"

L'une des convictions les plus contre-intuitives de John est qu'il ne suit pas les menaces.

"Je n'étudie pas les derniers logiciels malveillants ni les dernières campagnes d'attaque", a-t-il déclaré. Parce que dans un environnement "zéro confiance" bien conçu, ils n'ont pas d'importance.

Pourquoi ? Parce que Zero Trust part du principe que les violations sont inévitables et met en place des contrôles pour protéger ce qui est important au lieu de courir après chaque alerte.

"Dans un environnement de confiance zéro, aucune politique ne permet à une ressource inconnue d'Internet de déposer une charge utile inconnue sur votre surface de protection", explique-t-il.

Je n'étudie pas les derniers logiciels malveillants ou les dernières campagnes d'attaque, car dans un environnement de confiance zéro bien conçu, ils n'ont pas d'importance.

Les protocoles utilisés par les attaquants n'ont pas changé. Et les mêmes vecteurs d'attaque de base, comme les liens d'hameçonnage ou les mauvais mots de passe, dominent toujours.

"Les attaquants utilisent toujours les mêmes outils qu'il y a 20 ans", a-t-il déclaré. "Ce n'est pas le monde cinétique. Dans le cyberespace, ils sont toujours coincés dans les mêmes rails TCP/IP".

Au lieu de rechercher des informations sur les menaces, John se concentre sur des politiques applicables et des surfaces de protection.

La confiance zéro ne consiste pas nécessairement à réagir plus rapidement. Il s'agit d'abord de supprimer les options de l'attaquant.

Oubliez les piliers : suivre le modèle en 5 étapes de la confiance zéro

L'une des raisons pour lesquelles tant d'efforts en faveur de la confiance zéro échouent est que les organisations tentent de suivre des cadres rigides remplis de mots à la mode et de piliers. John dit qu'il est temps de simplifier.

"J'utilise le modèle en cinq étapes. Toujours. Commencez par la surface à protéger, pas par une liste de produits", a-t-il encouragé.

Les cinq étapes, décrites dans des publications gouvernementales telles que le rapport du NSTAC au président sur la confiance zéro et la gestion de l'identité de confiance, sont les suivantes :

  1. Définir la surface de protection
  2. Cartographier les flux de transactions
  3. Construire une architecture de confiance zéro
  4. Créer une politique
  5. Contrôler et maintenir

John met en garde contre le fait d'essayer de s'attaquer à la confiance zéro d'un seul coup ou de penser qu'il s'agit d'un parcours de maturité linéaire.

"Les gens pensent qu'il faut d'abord s'occuper de l'identité, puis des appareils et enfin du réseau", a-t-il déclaré. "Vous n'accomplirez jamais rien de cette façon.

Il recommande plutôt aux équipes de diviser le projet en surfaces de protection, qui sont de petites parties de votre réseau à haute valeur ajoutée qui peuvent être sécurisées de bout en bout.

Et commencez toujours par la question la plus importante : Que protégeons-nous ?

La confiance zéro est un impératif de leadership

Lorsqu'on lui demande comment maintenir l'élan de la confiance zéro, John répond par une simple vérité : "Obtenir l'adhésion des dirigeants. Tout change lorsqu'ils sont à bord".

C'est ce qui transforme des incitations mal alignées en alignement.

Beaucoup de gens m'ont dit : "Nous ne ferons jamais de Zéro Trust ici". Et puis le PDG dit que nous le faisons, et soudain cela se produit".

Le seul moyen de passer de l'achat de sécurité à court terme à une stratégie à long terme ? Faites-en une priorité pour vos dirigeants.

"La cybersécurité n'est pas un poste budgétaire trimestriel", a déclaré M. John. "C'est le moteur de votre entreprise. Ou, comme il l'a dit sans ambages, "si l'ordinateur tombe en panne, les avions ne volent pas".

La cybersécurité n'est pas un poste budgétaire trimestriel. C'est le moteur de votre entreprise.

Confiance zéro : ni à la mode ni optionnelle

La confiance zéro s'est généralisée. Vous le voyez dans les mandats gouvernementaux, les campagnes des vendeurs et les livres blancs tape-à-l'œil. Mais la plupart d'entre eux passent à côté de l'essentiel.

Ce que John Kindervag partage, et ce depuis près de 20 ans, n'est pas un argumentaire sur un produit ou un cadre marketing. Il s'agit d'un changement d'état d'esprit. Elle oblige les organisations à cesser de réagir et à commencer à concevoir des architectures. Il s'agit d'une stratégie réelle, et non de dépenses fondées sur la peur.

Dans un monde d'attaques constantes, d'outils qui se chevauchent et de pression pour aller vite, la voix de John est un point d'ancrage. Elle nous rappelle que la cybersécurité ne consiste pas à suivre les tendances, mais à protéger ce qui compte le plus.

C'est exactement la raison pour laquelle la confiance zéro n'est plus optionnelle. Il s'agit d'une anti-fragilité opérationnelle, de par sa conception.

Vous souhaitez écouter d'autres podcasts de leaders de Zero Trust comme John ? Abonnez-vous à notre podcast primé Le segment : Un podcast sur le leadership sans confiance.

Sujets connexes

Cyber Resilience

Articles connexes

Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio
Segmentation sans confiance

Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio

Regardez cette vidéo avec Kerry Peirse qui explique comment Cathay Pacific a mis en place la micro-segmentation en moins de 3 mois. Arrêtez les mouvements latéraux, répondez aux exigences de conformité.

Read more
La Forrester Wave™ pour la confiance zéro
Segmentation sans confiance

La Forrester Wave™ pour la confiance zéro

Le rapport Forrester Wave Q418 sur les fournisseurs d'écosystèmes Zero Trust eXtended (ZTX) informe sur la stratégie à long terme par laquelle les organisations peuvent atteindre une meilleure posture de sécurité.

Read more
Cartographie d'Illumio dans le Top 20 du CIS
Segmentation sans confiance

Cartographie d'Illumio dans le Top 20 du CIS

Vous voulez mieux comprendre comment Illumio vous aide à mettre en œuvre votre initiative de contrôles de sécurité CIS ? Lisez la suite pour en savoir plus.

Read more
John Kindervag raconte l'histoire de Zero Trust
Segmentation sans confiance

John Kindervag raconte l'histoire de Zero Trust

Découvrez comment John Kindervag a commencé à s'intéresser à la confiance zéro, ses premières recherches sur les meilleures pratiques en matière de confiance zéro et ses conseils aux organisations qui s'engagent sur la voie de la confiance zéro.

Read more
Zero Trust en pratique avec le créateur John Kindervag et le RSSI Jared Nussbaum
Segmentation sans confiance

Zero Trust en pratique avec le créateur John Kindervag et le RSSI Jared Nussbaum

Explorez les idées clés d'une puissante conversation RSAC 2025 entre deux leaders de la confiance zéro sur la façon dont la stratégie, la segmentation et l'alignement commercial permettent à la confiance zéro de fonctionner dans le monde réel.

Read more
5 mythes sur la confiance zéro démentis par John Kindervag et Michael Farnum
Segmentation sans confiance

5 mythes sur la confiance zéro démentis par John Kindervag et Michael Farnum

John Kindervag, créateur de Zero Trust et évangéliste en chef d'Illumio, et Michael Farnum, RSSI consultant chez Trace3, vous expliquent les mythes les plus courants concernant Zero Trust qu'ils constatent dans le secteur et les vérités qui se cachent derrière ces mythes.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more