Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Zero Trust en pratique avec le créateur John Kindervag et le RSSI Jared Nussbaum

Brian Piper
Directeur de la défense des intérêts des clients
Illumio Editorial
Juin 3, 2025
23 min. lire

Que se passe-t-il lorsque l'auteur de Zero Trust se retrouve face à quelqu'un qui le met à l'épreuve tous les jours ?

C'est exactement ce qu'Illumio a apporté sur la scène du RSAC 2025 - une conversation rare et non scénarisée entre John Kindervag, créateur de Zero Trust et évangéliste en chef d'Illumio, et Jared Nussbaum, CISO chez Ares Management et praticien chevronné qui a vécu de l'intérieur l'aventure de Zero Trust.

John a introduit le modèle il y a 15 ans. Jared a passé des dizaines d'années à aider des entreprises internationales à l'adopter, à l'adapter et à se remettre de violations réelles. Ensemble, ils ont expliqué les origines de la confiance zéro, son évolution et ce qu'il faut faire pour qu'elle fonctionne dans le paysage actuel des menaces.

Voici six points clés de leur conversation que tous les responsables de la sécurité devraient prendre à cœur.

1. La confiance zéro est une stratégie, pas un produit

Bien que de nombreux fournisseurs essaient de présenter Zero Trust comme un outil, ce n'est pas exact. Il s'agit d'un changement stratégique dans notre façon d'envisager la sécurisation des environnements numériques.  

Au cours de leur conversation, John a été clair : "Zero Trust est avant tout une stratégie. C'est quelque chose que l'on fait, pas quelque chose que l'on achète".  

Jared, du point de vue du RSSI, est d'accord. "Tout ce qui me permet de gagner en visibilité et de réduire les risques est une victoire", a-t-il déclaré.  

Mais il a ajouté que la confiance zéro doit commencer par un état d'esprit et une stratégie alignés sur les résultats de l'entreprise. Avant de se lancer dans l'utilisation d'outils ou de cadres, les équipes de sécurité doivent comprendre ce qu'elles protègent et pourquoi. Cela permet de s'assurer que les dépenses de sécurité sont correctement hiérarchisées et d'obtenir une forte adhésion de la part du conseil d'administration.

"Zero Trust est avant tout une stratégie. C'est quelque chose que vous faites, pas quelque chose que vous achetez".

- John Kindervag, créateur de Zero Trust

2. La microsegmentation est fondamentale

Pour John, la segmentation est un élément fondamental de la confiance zéro. En fait, le deuxième rapport jamais écrit sur la confiance zéro est celui que John a rédigé il y a 15 ans, intitulé Build Security Into Your Network's DNA : The Zero Trust Network Architecture.  

Dans son rapport, il souligne l'importance de la segmentation et de la gestion centralisée en tant qu'éléments clés de la confiance zéro. Il a appelé à créer de nouvelles façons de segmenter les réseaux, car ils devront tous être segmentés.

Extrait de l'ouvrage de Forrester intitulé Build Security Into Your Network's DNA : L'architecture de réseau à confiance zéro

Au cours de la conversation, John a souligné que les réseaux d'aujourd'hui doivent être segmentés par défaut afin d'empêcher les attaquants de se déplacer latéralement une fois qu'ils ont obtenu l'accès. "Les attaquants en sont les propriétaires et vous payez les factures", a-t-il déclaré. "La segmentation est le fondement de la confiance zéro.  

Jared a illustré l'impact des réseaux non segmentés à l'aide de l'exemple de la violation de Target en 2013. Les attaquants ont obtenu un accès par l'intermédiaire d'un fournisseur tiers de systèmes de chauffage, de ventilation et de climatisation et se sont introduits dans les systèmes de point de vente parce que les limites appropriées n'étaient pas en place.  

"La segmentation effectuée à l'aide de limites de sécurité solides vous permet de bénéficier d'une visibilité et d'un contrôle", a-t-il déclaré. "Vous ne pouvez pas empêcher tous les attaquants d'entrer, mais vous pouvez les empêcher d'aller très loin.

3. Commencez modestement avec une confiance nulle

L'une des plus grandes erreurs que John constate est que les équipes essaient de mettre en place la confiance zéro dans l'ensemble de l'organisation en une seule fois.  

"Les gens échouent à Zero Trust parce qu'ils essaient de tout faire en même temps", a-t-il expliqué. "Il faut commencer petit - une surface de protection à la fois.  

Sa méthodologie bien connue,Zero Trust, en cinq étapes, met l'accent sur la construction d'environnements adaptés, gérables et durables :

  • Définissez la surface de protection. Identifier ce qui doit être protégé, en tenant compte du fait que la surface d'attaque est en constante évolution.
  • Cartographier les flux de transactions. Obtenez une visibilité sur les flux de communication et de trafic afin de déterminer où des contrôles de sécurité sont nécessaires.
  • Construire l'environnement "Zero Trust". Une fois la visibilité totale obtenue, mettez en œuvre des contrôles adaptés à chaque surface de protection.
  • ‍Créer despolitiques de sécurité de confiance zéro. Élaborer des règles granulaires permettant au trafic d'accéder aux ressources à l'intérieur de la surface de protection.
  • Surveiller et entretenir le réseau. Établissez une boucle de rétroaction grâce à la télémétrie, en améliorant continuellement la sécurité et en construisant un système résilient et antifragile.

Nussbaum a vu la même chose se produire dans la pratique. "Les entreprises sont confrontées au problème de la confiance zéro lorsqu'elles entreprennent trop de choses à la fois", a-t-il déclaré. "Si vous commencez modestement, que vous vous alignez sur les parties prenantes de votre entreprise et que vous construisez progressivement, la confiance zéro devient réalisable".  

Il a souligné l'importance de comprendre l'environnement, de définir des objectifs clairs et d'apporter une valeur ajoutée dès le début pour créer une dynamique. Dans le cas contraire, il prévient que les projets "Zero Trust" peuvent s'effondrer rapidement et faire reculer le niveau de sécurité d'une organisation.

4. L'identité ne suffit pas

Alors que l'identité occupe souvent le devant de la scène dans les conversations sur la confiance zéro, John a remis en question cette notion dès le début. "L'identité n'est qu'un signal", a-t-il déclaré. "Il est toujours fongible. Vous avez besoin de plus de contexte pour prendre de bonnes décisions".  

En d'autres termes, le fait de s'appuyer uniquement sur l'identité introduit un risque. En effet, il est toujours possible qu'une session soit détournée ou qu'une identité soit utilisée à mauvais escient.

Jared a insisté sur la nécessité d'aller au-delà des informations d'identification des utilisateurs. "Vous devez vérifier en permanence l' utilisateur, son appareil, l'endroit où il travaille, ce à quoi il accède et si cela a un sens", a-t-il déclaré.  

Il a souligné qu'il ne s'agit pas seulement de personnes. Les communications entre charges de travail doivent également être vérifiées et contrôlées. "Sans un contexte complet, vous ne pouvez pas appliquer une politique efficace.

Les outils d'observabilité de l'IA comme Illumio Insights fournissent le type de contexte approfondi que la sécurité moderne exige. Ils vous aident à obtenir un contexte dans vos environnements pour comprendre les comportements, détecter les anomalies et évaluer les risques en fonction de la manière dont les choses sont censées fonctionner et non de ce qui se passe réellement.

5. Définir le risque cybernétique en termes commerciaux

John a décrit la confiance zéro comme "la grande stratégie de la cybersécurité". Il a souligné son adoption croissante par les gouvernements et les entreprises.  

Il a notamment expliqué comment la stratégie a trouvé un écho même auprès des dirigeants du Congrès après la violation des données de l'OPM. C'est à ce moment-là que la confiance zéro a été identifiée comme le modèle qui aurait pu limiter les mouvements des attaquants et protéger la sécurité nationale.

Mais comme l'a souligné Jared, parler de confiance zéro - ou de cybersécurité de manière plus générale - n'a d'importance que si vous l'envisagez en termes de risques pour l'entreprise.  

"Le risque cybernétique contribue au risque commercial, mais ce n'est pas la même chose", a-t-il déclaré. "Votre conseil d'administration ne se préoccupe pas du temps d'attente ou des charges utiles des ransomwares. Ils se soucient des temps d'arrêt, des pertes de revenus, de l'impact sur les clients et des conséquences réglementaires".  

Pour Jared, traduire les préoccupations en matière de sécurité en résultats commerciaux est ce qui permet d'obtenir l'adhésion et d'assurer la réussite de la sécurité dans l'ensemble de l'organisation.

"Votre conseil d'administration ne se préoccupe pas du temps d'attente ou des charges utiles des ransomwares. Ils se soucient des temps d'arrêt, des pertes de revenus, de l'impact sur les clients et des conséquences réglementaires".

- Jared Nussbaum, RSSI d'Ares Management

6. Aligner la confiance zéro sur votre environnement

L'un des points les plus importants soulevés par John au cours de son intervention est que chaque environnement de confiance zéro doit être conçu pour s'adapter à l'organisation.  

"Chaque environnement est personnalisé", a-t-il déclaré. "Vous ne pouvez pas simplement sortir une architecture de référence de l'étagère et vous attendre à ce qu'elle fonctionne. Vous devez le concevoir en fonction de votre surface de protection et des besoins de l'entreprise".

Jared est d'accord et souligne l'importance de la collaboration interfonctionnelle.  

"Vous ne pouvez pas faire de la confiance zéro en vase clos", a-t-il expliqué. "Vous devez impliquer les équipes d'infrastructure, les développeurs d'applications, les unités commerciales et même la direction générale. Si vous ne vous alignez pas sur leurs priorités et leur calendrier, votre programme ne réussira pas".  

Il a insisté sur l'importance d'une communication permanente, exhortant les responsables de la sécurité à "faire connaître leurs plans tôt et souvent, et à les adapter en fonction du retour d'information de l'entreprise".

Intégrer la confiance zéro dans votre stratégie

John Kindervag et Jared Nussbaum ont apporté des perspectives différentes sur la scène du RSAC - l'un en tant qu'initiateur de la confiance zéro, l'autre en tant que praticien l'appliquant quotidiennement. Mais tous deux sont d'accord sur ce point : La confiance zéro est un parcours, pas un projet ponctuel.

"Vous en aurez fini avec Zero Trust lorsque vous aurez fini de respirer", a déclaré John en plaisantant. "Il s'agit d'une stratégie à long terme.

Pour les responsables de la sécurité qui cherchent à construire une base plus résistante, Zero Trust offre une voie qui a fait ses preuves. Elle commence par la stratégie, s'étend avec l'alignement de l'entreprise et réussit grâce à la visibilité, au contexte et au contrôle.

Découvrez comment plus Les clients d'Illumio mettent en œuvre la confiance zéro au sein de leur organisation, ou contactez-nous dès aujourd'hui pour parler à l'un de nos experts en matière de confiance zéro.

Sujets connexes

Segmentation sans confiance

Articles connexes

Pourquoi une stratégie de confiance zéro requiert-elle à la fois ZTS et ZTNA ?
Segmentation sans confiance

Pourquoi une stratégie de confiance zéro requiert-elle à la fois ZTS et ZTNA ?

Bénéficiez des conseils d'experts sur la mise en place d'un cadre de confiance zéro utilisant l'accès au réseau de confiance zéro (ZTNA) et la segmentation de confiance zéro (ZTS).

Read more
Participer à la conférence Black Hat MEA 2023 ? Voici ce que vous devez savoir
Segmentation sans confiance

Participer à la conférence Black Hat MEA 2023 ? Voici ce que vous devez savoir

Visitez Illumio à Riyadh, en Arabie Saoudite, du 14 au 16 novembre au stand H4.C31.

Read more
Rencontrez Illumio à Tokyo au Gartner Security & Risk Management Summit 2024
Segmentation sans confiance

Rencontrez Illumio à Tokyo au Gartner Security & Risk Management Summit 2024

Rejoignez Illumio au Gartner Security & Risk Management Summit 2024 à Tokyo, au Japon, du 24 au 26 juillet, au stand 408 du Grand Nikko Tokyo Daiba.

Read more
3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité
Cyber Resilience

3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité

Apprenez l'approche de la sécurité basée sur la valeur qui réussira dans la salle du conseil d'administration et protégera votre organisation contre les cyber-menaces en évolution.

Read more
John Kindervag raconte l'histoire de Zero Trust
Segmentation sans confiance

John Kindervag raconte l'histoire de Zero Trust

Découvrez comment John Kindervag a commencé à s'intéresser à la confiance zéro, ses premières recherches sur les meilleures pratiques en matière de confiance zéro et ses conseils aux organisations qui s'engagent sur la voie de la confiance zéro.

Read more
Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité
Cyber Resilience

Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité

Découvrez pourquoi l'observabilité est essentielle pour comprendre et réduire les cyberrisques.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more