La psychologie de la confiance en cybersécurité (2e partie) : l’illusion du périmètre de confiance

Les modèles de sécurité traditionnels s’articulaient autour de l’idée d’un périmètre de confiance : tout ce qui se trouvait à l’intérieur de celui-ci était considéré comme digne de confiance et l’objectif était d’empêcher les acteurs malveillants d’y pénétrer. Mais ce modèle n’est plus valable.

Désormais, les utilisateurs se connectent de n’importe où, en utilisant un amalgame d’appareils professionnels et personnels, et en accédant à des données sur plusieurs plateformes. Le périmètre s’est dissous. Et, avec lui, l’illusion de la sécurité interne.

Les architectes réseau en sont de plus en plus conscients. Ils doivent s’assurer que le nombre croissant d’utilisateurs et d’appareils puissent tous se connecter au réseau. Cela inclut la connexion d’appareils IoT non gérés, qui, en raison de leur invisibilité effective, créent un point critique de vulnérabilité lorsque le réseau est « protégé » par un outil traditionnel tel qu’un VPN.

Et cette vulnérabilité critique ne fait que croître, au fil des progrès réalisés dans le domaine des véhicules interconnectés, des bâtiments intelligents, etc. Il se fait que le nombre mondial d’appareils IoT devrait^plus que doubler, passant de 19,8 milliards cette année à plus de 40,6 milliards au cours de la prochaine décennie.

Plus l’IoT sera omniprésent, plus les réseaux traditionnels seront vulnérables. L’IoT introduit des logiciels propriétaires dont l’intégration avec les réseaux existants et les outils de sécurité est souvent insuffisante, ce qui crée des vulnérabilités dans vos défenses. De plus, les appareils IoT augmentent plus rapidement que le nombre d’employés, ce qui élargit rapidement la surface d’attaque. Avec l’intégration de l’IA dans ces appareils, combinée à l’émergence de l’IA agentique, l’architecture cloisonnée traditionnelle est totalement inadaptée.

Ces architectures obsolètes ne parviennent pas à adapter correctement les autorisations, ce qui constitue une faille critique dans un paysage où le déplacement latéral reste l’une des plus grandes menaces. Elles ne sont tout simplement pas suffisamment sophistiquées pour définir les autorisations de manière appropriée. Elles donnent un large accès au réseau aux utilisateurs et aux appareils dont les informations d’identification ont été vérifiées. Si ces informations d’identification sont compromises, un hacker peut s’en servir contourner votre « périmètre de confiance » et accéder à toutes les données sensibles hébergées en interne sans passer par d’autres vérifications.

En conclusion ? Ne jamais faire confiance, toujours vérifier, car il n’existe plus de barrière de sécurité autour de votre réseau.

Le besoin urgent d’un recadrage psychologique
Cela ressemble à un principe cynique : ne jamais faire confiance, toujours vérifier. Cependant, cette philosophie fondamentale du mouvement Zero Trust ne consiste pas à être paranoïaque, mais à être préparé. Il s’agit de reconnaître que la confiance, bien qu’essentielle dans les relations humaines, doit être gagnée et continuellement vérifiée dans les systèmes numériques.

En comprenant cela, nous pouvons affirmer sans risque que le Zero Trust n’est pas seulement un cadre technique. C’est un changement d’état d’esprit. Nous devons protéger notre environnement numérique de la menace de notre propre biais de familiarité ; nous devons transformer la décision de faire confiance en une action objective plutôt que subjective afin d’avoir l’assurance que les politiques de sécurité sont appliquées de manière cohérente. En imposant un accès sur la base du moindre privilège et en procédant à une authentification continue, Zero Trust transforme la sécurité d’une barrière statique en un système dynamique et adaptatif.

Cette approche s’aligne sur la réalité des cyberattaques modernes : « quand vont-elles se produire, et non si ». Elle reconnaît que les violations sont inévitables et que les acteurs internes (qu’ils soient malveillants ou compromis) peuvent être tout aussi dangereux que les acteurs externes.

Le phishing par courrier électronique n’est bien sûr pas le seul moyen par lequel un acteur interne compromis peut exposer des données. Les employés qui utilisent des outils d’IA publics pour accélérer leurs tâches peuvent involontairement partager des données privées. En outre, ils sont moins susceptibles, compte tenu du biais de familiarité sous-jacent, de repérer l’ingénierie sociale élaborée à l’aide de l’IA. Les hackers se tournent également vers l’IA pour automatiser leurs efforts, ce qui leur permet d’élargir leur champ d’action et de se perfectionner beaucoup plus rapidement et avec beaucoup moins d’efforts. Cela augmente la probabilité qu’ils piègent une victime.

Il est clair que l’IA est une menace omniprésente et qu’elle finira sans doute par éroder la confiance au point que nous ne ferons plus confiance à rien. Mais tout n’est pas négatif. Nous devons reconsidérer notre vision de l’IA : elle peut être une alliée puissante, utilisée pour appliquer objectivement des politiques de sécurité d’une manière qui élimine la confiance de l’équation.

De la paranoïa à la prudence
Pour les décideurs d’entreprise, la voie à suivre est claire. Les menaces évoluent. Le périmètre a disparu. Et la psychologie de la confiance doit évoluer avec cette réalité.

Zero Trust offre un moyen d’y parvenir, non pas en rejetant la confiance, mais en la redéfinissant pour un monde où le contrôle par la vérification continue constitue le nouveau fondement de la sécurité.

Pour plus d’informations, rendez-vous sur : https://explore.zscaler.com/emea-financial-services/

FVOUS FAITES PARTIE D’UN SECTEUR HAUTEMENT RÉGLEMENTÉ ? Pour les entreprises des secteurs strictement réglementés
, en particulier celles des services financiers, il est désormais essentiel d’adopter une stratégie Zero Trust. Si vous débutez votre parcours, consultez la liste de contrôle des fonctionnalités de Zscaler à prendre en
compte avant d’investir dans une architecture Zero Trust. Elle vous donnera un aperçu de ce dont vous avez besoin pour intégrer le contrôle et la résilience nécessaires pour naviguer dans notre monde complexe. Détails dans notre e-book sur les services financiers

²Statista, Number of Internet of Things (IoT) connections worldwide from 2022 to 2023, with forecasts from 2024 to 2034. Juin 2025. Disponible sur : https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/