Le certificat et les supports de formation dévoilés récemment par la Cloud Security Alliance (CSA) proposent aux professionnels de la sécurité d'acquérir les connaissances nécessaires pour mettre en œuvre et gérer une stratégie zero trust dans leur entreprise. « L’omniprésence de la technologie, des systèmes de contrôle industriels au cloud en passant par l'IA générative, a dépassé les modèles de sécurité traditionnels », a déclaré Jim Reavis, cofondateur et directeur général de la Cloud Security Alliance, dans un communiqué. « Les principes du zero trust, qui consistent « à ne jamais faire confiance et à toujours vérifier », sont clairement la voie à suivre », a-t-il poursuivi, « et nous pensons que pratiquement toutes les entreprises appliqueront cette stratégie à divers environnements technologiques afin de protéger les actifs stratégiques et de prévenir les violations ».
Selon l’Alliance, le certificat de compétence dans le zero trust (Certificate of Competence in Zero Trust, CCZT) permettra à son titulaire d'acquérir une compréhension approfondie de l'architecture de confiance zéro, de ses composantes et de son fonctionnement. Il comprend également les meilleures pratiques fondamentales en matière de confiance zéro publiées par des sources faisant autorité comme la CISA américaine, le NIST, les travaux novateurs de CSA Research sur le périmètre défini par logiciel (Software-Defined Perimeter, SDP) et les conseils d'experts en zero trust tels que John Kindervag, fondateur de la philosophie zero trust.
Une base de connaissances et de compétences pour le zero trust
En lançant son programme de certificats, la Cloud Security Alliance s'engage dans un domaine qui s'est embrouillé au fil du temps. « Le zero trust est un concept convaincant qui, s'il est appliqué correctement, offre une grande valeur en termes de sécurité aux entreprises qui l'adoptent », a déclaré Nick Edwards, vice-président de Menlo Security, une entreprise spécialisée dans la sécurité web basée sur la confiance zéro. « Malheureusement, comme c'est souvent le cas dans l'industrie technologique, les frameworks industriels font l'objet d'une publicité excessive et d'abus de la part de la communauté des fournisseurs, ce qui entraîne une dilution de la valeur et un scepticisme général à l'égard de l'idée d'origine.
Les certificats offrent un support intéressant pour créer une base de connaissances et de compétences qui aide les entreprises à exécuter correctement le zero trust et à distinguer le « signal » du « bruit » », a ajouté M. Edwards. Wayne Hankins, directeur senior pour la sécurité et la gestion des risques chez Gartner, partage cet avis. « Le paradigme de la cybersécurité est souvent obscurci par les fournisseurs qui présentent leurs produits comme des solutions zero trust uniques », a-t-il encore déclaré. « Pour mettre en œuvre cette approche, sans se laisser piéger par le bruit des fournisseurs, les entreprises auront besoin des conseils de leaders d'opinion expérimentés ».
Développer les programmes de certifications
Cela peut prendre un certain temps, mais les programmes de certification auront un impact sur la diffusion des stratégies ero trust « Ce programme de certification n'aura pas d'impact immédiat sur l'adoption d'architectures zero trust, car les investissements dans la cybersécurité ne sont pas alignés sur les incitations actuelles des entreprises », a déclaré pour sa part Shane Miller, chercheur principal à l'Atlantic Council's Cyber Statecraft Initiative. « Un changement radical et global se profile à l'horizon, sous l'impulsion d'organisations telles que la CISA aux États-Unis, qui commencera à remédier à ce décalage », a-t-il encore déclaré.
« Le zero trust est un changement de culture d'entreprise et, comme toute évolution, il ne peut réussir que si les résultats sont compris et appréciés », a ajouté M. Miller. « Nous avons encore beaucoup à faire sur le plan de l'éducation et de la défense des principes et de l'architecture de confiance zéro, et des initiatives comme ce programme de certificat contribuent à faire avancer les choses pour les parties prenantes. Il faut initier plus de programmes comme le Certificate of Competence in Zero Trust ».
Un faible coût très attractif pour démarrer
Selon Dean Webb, ingénieur en solutions chez Merlin Cyber, un éditeur d'IAM, la clé de la reconnaissance et de l'acceptation de cette certification par l'ensemble de l'industrie réside dans son adoption par les entreprises. « À mesure que les entreprises ajouteront la CCZT à leur liste de certifications souhaitées et requises, les professionnels de l’IT en général chercheront à obtenir la certification pour saisir de futures opportunités.
Les entreprises adopteront alors davantage de pratiques de zero trust, simplement parce qu'elles disposent d'un personnel qui les comprend et qui souhaite les mettre en place ». M. Webb a salué la décision de la Cloud Security Alliance d'offrir gratuitement en ligne tout le matériel de formation pour la CCZT. « Le faible coût total de la certification est idéal pour les personnes autonomes qui ont leurs propres objectifs », a-t-il expliqué. « Les personnes travaillant dans d'autres domaines de l’IT, et qui souhaitent se lancer dans la sécurité, auraient tout intérêt à s'en emparer ».
Commentaire