Le concept de Zero Trust (ZT) en sécurité informatique repose sur le principe de ne faire confiance à aucun utilisateur (interne ou externe), ni à aucun appareil par défaut. Il part de deux hypothèses : une mobilité totale du lieu de travail à partir duquel on demande l’accès à une ressource, la ressource (data, programme, processeur) à protéger peut-être hébergée dans divers Clouds publics ou privés. Bien qu’il soit souvent associé à la sécurité des réseaux, le ZT rassemble des pratiques qui s’appliquent à tous les systèmes d’information, dans tous les secteurs de métier. Étant donné l’enjeu grandissant de la Cybersecurité, dans une société fonctionnant de plus en plus sur le Numérique, nous proposons cet évènement consacré à ces pratiques en se focalisant sur les sujets de recherche qui se dégagent de chaque pilier de l’espace de ZT.
Domaines de recherche impactant la mise en place du Zero Trust :
1. Sécurité de la gestion des identités : Par exemple, l’ICAM (Identity, Credential, and Access Management) dans un environnement fédéré, … .
2. Sécurité des réseaux : Par exemple, le périmètre défini par logiciel (Software Defined Perimeter), la sécurité des données en transit, macro-segmentation et microsegmentation.
3. Gestion d’accès sécurisé des Individus ainsi que des Agents automatisés, ou Objets Connectés (IoT).
4. Sécurité des applications : Par exemple, la sécurité des API et des accès sur site (on-premises) ou dans le Cloud.
5. Sécurité des données : la sécurité centrée sur les données (Data-Centric Security), protection des données ‘en transit’, ‘au repos’ et ‘en utilisation’. Cryptographie Post Quantique, Confidential Computing, Secure Multi Partry Computation (SMPC), chiffrement homomorphe ….
6. Orchestration et gouvernance : Par exemple, la réglementation eIDAS, l’orchestration des politiques de sécurité, … .
Ce cadre scientifique permet de mieux comprendre les différents aspects et domaines de recherche qui contribuent à la mise en oeuvre du concept de Zero Trust.