Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

La confiance zéro a grandi. Voici ce que ses fondateurs annoncent pour l'avenir.

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Juillet 22, 2025
23 min. lire
Chase Cunningham et John Kindervag, fondateurs de Zero Trust
Chase Cunningham et John Kindervag, pionniers de la confiance zéro

Zero Trust a grandi.

C'est ainsi que Chase Cunningham et John Kindervag décrivent l'état actuel de la stratégie de sécurité qu'ils ont développée, du concept au mouvement mondial.

"Quand je suis arrivé à Forrester, j'ai hérité du bébé de quelqu'un d'autre", plaisante Chase. "Ce parent était John. Et maintenant, le bébé est un adolescent".

Il n'en a pas toujours été ainsi. Mais aujourd'hui, la confiance zéro est omniprésente. John et Chase aident aujourd'hui les responsables de la sécurité du monde entier à réimaginer la manière dont ils protègent ce qui compte le plus.

Qu'est-ce qui alimente cette dynamique et quelle est la prochaine étape ?

Dans notre dernier épisode du podcast The Segment , j'ai rencontré John, le parrain de Zero Trust, et Chase, connu dans le secteur sous le nom de Dr Zero Trust, pour parler de l'essor de cette stratégie, de la puissance des graphiques de sécurité et de ce que cela signifie réellement de penser comme un attaquant.

La confiance zéro est une stratégie. Arrêt complet.

Lorsque John et Chase ont commencé à promouvoir la confiance zéro il y a une quinzaine d'années, la réponse n'était pas vraiment enthousiaste.

"Lors de mon premier discours, il y avait 14 personnes dans la salle", a déclaré John. "Et la plupart d'entre eux m'ont dit que j'étais un idiot."

Mais aujourd'hui, le phénomène est mondial. Des petites entreprises aux gouvernements internationaux, les organisations placent enfin le confinement et la visibilité au cœur de leurs stratégies de sécurité.

Chase pense que nous avons franchi le gouffre de la confiance zéro. La "haterade" circule toujours en ligne, mais l'adoption est réelle", a-t-il déclaré.

Ils animent des ateliers sur la confiance zéro un peu partout, de Taïwan à la Suisse. En fait, M. John a déclaré qu'il s'était récemment adressé à des responsables de la cybersécurité à Bletchley Park, au Royaume-Uni, où se trouvaient les premiers décrypteurs.

Qu'est-ce qui alimente cette croissance ? Ils sont tous deux d'accord pour dire que c'est la capacité de Zero Trust à trouver un écho à tous les niveaux, des ingénieurs en sécurité aux décideurs exécutifs et aux membres du conseil d'administration.

Depuis ses débuts, Zero Trust n'a pas pour objectif de déterminer quelle technologie acheter. Il s'agit d'un cadre permettant de créer des organisations résilientes qui fonctionne dans toutes les fonctions et à toutes les échelles.

Les graphiques de sécurité changent la donne

La confiance zéro est une stratégie unique parce qu'elle continue à fonctionner même si le secteur évolue. L'un des plus grands bonds en avant actuellement est la façon dont les organisations adoptent la confiance zéro en même temps que les graphiques de sécurité.

Le nouveau livre de M. Chase, Think Like an Attacker : Why Security Graphs Are the Next Frontier of Threat Detection and Response, explique comment l'analyse graphique aide les défenseurs à comprendre leur infrastructure avec la même clarté que les attaquants.

"Lorsque j'étais dans l'armée, nous sommes passés de cinq opérations réussies par mois à 300 lorsque nous avons utilisé des modèles graphiques", a déclaré M. Chase. "Pourquoi ? Parce que nous comprenions le terrain".

John est d'accord. Dans son modèle de confiance zéro en cinq étapes, les graphes de sécurité sont le moteur de la deuxième étape : cartographier les flux de transactions. Sans cette carte, la confiance zéro devient une supposition.

"Les bonnes cartes gagnent les guerres", a-t-il déclaré. "Les mauvaises vous perdent. Il en va de même pour la cybersécurité.

Les bonnes cartes permettent de gagner des guerres. Les mauvaises vous perdent.

Connaître vos priorités en matière de sécurité ou risquer de perdre le contrôle  

Les graphiques de sécurité aident également les équipes de sécurité à hiérarchiser les priorités.

John et Chase ont tous deux insisté sur le fait que les responsables de la cybersécurité doivent repenser ce qu'est la réussite. "Si tout est prioritaire, alors rien ne l'est", a prévenu M. Chase.  

C'est pourquoi la définition de la surface de protection - les données, applications et services les plus critiques de votre réseau - est fondamentale.

À partir de là, les responsables de la sécurité peuvent utiliser la visibilité graphique pour prendre des décisions éclairées et déployer des contrôles de manière ciblée. John l'a dit clairement : "La plupart des gens espèrent que rien de mal n'arrivera. Ce n'est pas une stratégie de risque".

Au lieu de cela, les équipes de sécurité doivent accepter que les attaquants s'introduisent dans le système . Notre tâche consiste à contenir leurs mouvements et à minimiser le rayon d'action de l'explosion.

Pensez comme un attaquant - ou restez en retrait

L'une des conclusions les plus convaincantes de notre discussion est la suivante : les défenseurs doivent inverser le scénario.

"Les attaquants ne suivent pas les listes de contrôle de conformité", a déclaré M. Chase. "Ils se déplacent rapidement, jouent de manière malhonnête et exploitent les choses que vous pensez être sûres.  

C'est pourquoi il ne suffit pas de surveiller les alertes ou de corriger les vulnérabilités connues. Les défenseurs doivent comprendre l'état d'esprit de l'ennemi, car il y a de fortes chances que les attaquants comprennent déjà votre infrastructure mieux que vous.

Les attaquants ne suivent pas les listes de contrôle de conformité. Ils se déplacent rapidement, jouent de manière malhonnête et exploitent les choses que vous croyez sûres.

Bien que le red teaming existe depuis des décennies, John souligne qu'il est temps d'évoluer. "Nous avions l'habitude d'effectuer des tests de pénétration et de fournir des rapports de 200 pages auxquels personne ne donnait suite", a-t-il déclaré. "Maintenant, nous avons besoin de tests ciblés qui posent la question suivante : un attaquant peut-il atteindre ma surface de protection, et à quelle vitesse puis-je le contenir s'il y parvient ?

L'IA peut être un allié si vous êtes prudent

L'IA peut réellement contribuer à faire évoluer la manière dont nous voyons, comprenons, hiérarchisons et agissons face aux menaces. Bien que John et Chase soient sceptiques quant à l'engouement pour l'IA, ils sont convaincus de son potentiel.

"L'IA n'est pas magique", a déclaré M. Chase. "C'est une question de mathématiques. Mais si cela permet aux défenseurs de se déplacer à la vitesse d'une machine, utilisez-le".

John a ajouté que la valeur de l'IA est d'aider les organisations à accélérer leur réponse. "Si vous déployez un airbag de la même manière que vous gérez le changement, vous mourrez", a-t-il déclaré. "Nous avons besoin d'une réponse automatisée. L'IA peut nous y conduire".

L'IA n'est pas magique. Il s'agit de mathématiques. Mais si cela permet aux défenseurs de se déplacer à la vitesse d'une machine, utilisez-le.

Mais il ne s'agit pas seulement d'acheter un outil étiqueté "IA". Il s'agit de s'assurer que votre infrastructure existante est prête à l'accueillir. La visibilité basée sur les graphes, les moteurs de politiques et la segmentation devraient déjà être en place pour permettre une action en temps réel avec l'IA.

Zero Trust a gagné sa place à la table des négociations

La partie la plus inspirante de notre conversation a été de voir le chemin parcouru par Zero Trust. Qu'il s'agisse de tests d'écriture dans les casinos, de discussions dans les salles de sport des hôtels ou de conseils aux généraux et aux législateurs, John et Chase ont transformé une idée en un mouvement.

Ce mouvement n'est plus une préoccupation de niche pour les technologies de l'information. Il s'agit d'une question de conseil d'administration, d'une priorité nationale et d'un impératif stratégique.

Comme l'a dit John, "les attaquants construisent des machines pour nous vaincre" : "Les attaquants construisent des machines pour nous vaincre. Nous devons donc construire des machines pour les vaincre".

Pour ce faire, nous avons besoin de meilleures cartes, de systèmes plus intelligents et du courage de donner la priorité à ce qui compte le plus.

Écoutez l'intégralité de notre conversation sur The Segment : Un podcast sur le leadership sans confiance via Apple, Spotifyou notre site web.

Sujets connexes

Cyber Resilience

Articles connexes

Deloitte reconnaît Illumio comme lauréat du Tech Fast 500
Segmentation sans confiance

Deloitte reconnaît Illumio comme lauréat du Tech Fast 500

Le palmarès Deloitte Technology Fast 500 récompense les entreprises technologiques à la croissance la plus rapide en se basant sur le pourcentage de croissance du chiffre d'affaires au cours des trois dernières années.

Read more
Obtenez 5 informations sur la confiance zéro de Shawn Kirk d'AWS
Segmentation sans confiance

Obtenez 5 informations sur la confiance zéro de Shawn Kirk d'AWS

Découvrez comment l'équipe AWS de Shawn Kirk aborde les initiatives Zero Trust avec les clients AWS, le modèle de responsabilité partagée et le retour sur investissement de la sécurité du cloud.

Read more
Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio
Segmentation sans confiance

Comment Cathay Pacific a accéléré son succès en matière de segmentation et de conformité grâce à Illumio

Regardez cette vidéo avec Kerry Peirse qui explique comment Cathay Pacific a mis en place la micro-segmentation en moins de 3 mois. Arrêtez les mouvements latéraux, répondez aux exigences de conformité.

Read more
Les femmes dans le domaine de la cybersécurité partagent leurs meilleures leçons en matière de leadership
Culture d'Illumio

Les femmes dans le domaine de la cybersécurité partagent leurs meilleures leçons en matière de leadership

Découvrez les leçons de leadership de trois femmes dans le domaine de la cybersécurité et partagez leurs idées sur le mentorat, l'allié et la rupture avec les stéréotypes de l'industrie.

Read more
Larry Ponemon explique pourquoi le confinement - et non la prévention - est l'avenir de la cybersécurité
Ransomware Containment

Larry Ponemon explique pourquoi le confinement - et non la prévention - est l'avenir de la cybersécurité

Larry Ponemon, expert en cybersécurité, explique pourquoi la prévention ne suffit plus et pourquoi l'endiguement, la confiance zéro et un leadership fort sont essentiels pour survivre aux attaques modernes de ransomware.

Read more
Les affaires de la cybercriminalité : Ce qu'un ancien directeur adjoint du FBI veut que chaque RSSI sache
Cyber Resilience

Les affaires de la cybercriminalité : Ce qu'un ancien directeur adjoint du FBI veut que chaque RSSI sache

Découvrez pourquoi les RSSI doivent adopter une approche commerciale de la cybersécurité et comment Zero Trust peut aider à combler le fossé entre le risque et la résilience.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more