Le « zero trust » est une stratégie de cybersécurité qui vise à faire évoluer les défenses périphériques, en passant d'une protection de périmètres étendus et statiques à un contrôle d'accès plus ciblé, dynamique et fondé sur les niveaux de risque, pour les ressources de l'entreprise, quel que soit leur emplacement. Le contrôle d'accès « zero trust » repose sur plusieurs critères, tels que l'identité et l'état de santé des terminaux. (avec l'aide de DeepL)
et relève un problème typique du secteur de la sécurité
Alors Zero Trust, n’en mangez pas, c’est une arnaque !
l'absence de preuve de rentabilité
L'argument de vente en cyber ne tourne pas rond, ce n'est pas un «contexte, problème, impact financier du problème, rentabilité de la solution», mais essentiellement de la peur, faire imaginer la catastrophe sans se poser la question de l'efficacité de la solution proposé rapporté à son coût ou la peur du gendarme via les normes.
Il est évident qu'il faut de la sécurité, mais il y a bien peu de rationalité dans le choix des moyens à mettre en œuvre. Et les contextes européens dans lesquelles ce genre de solution peut sembler raisonnable sont vraisemblablement la cible d'États. AMA, il vaudrait mieux dépenser l'argent dans des sauvegardes et des tests grandeur nature de restauration des systèmes et des données (sujet sur lequel il y a des données suffisante pour prouver que ce n'est pas une arnaque).
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Earered . En réponse au journal Science sans confiance n’est que bruit de lame. Évalué à 2 (+1/-0).
Je trouve que sa description colle bien à la définition de 2018 du NIST
et relève un problème typique du secteur de la sécurité
l'absence de preuve de rentabilité
L'argument de vente en cyber ne tourne pas rond, ce n'est pas un «contexte, problème, impact financier du problème, rentabilité de la solution», mais essentiellement de la peur, faire imaginer la catastrophe sans se poser la question de l'efficacité de la solution proposé rapporté à son coût ou la peur du gendarme via les normes.
Il est évident qu'il faut de la sécurité, mais il y a bien peu de rationalité dans le choix des moyens à mettre en œuvre. Et les contextes européens dans lesquelles ce genre de solution peut sembler raisonnable sont vraisemblablement la cible d'États. AMA, il vaudrait mieux dépenser l'argent dans des sauvegardes et des tests grandeur nature de restauration des systèmes et des données (sujet sur lequel il y a des données suffisante pour prouver que ce n'est pas une arnaque).