Le climat actuel d’incertitude géopolitique et économique a renforcé la menace et toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité, en ressentent les effets. Que l’on parle de ransomware ou de violation de données qui pourrait compromettre des données sensibles, les risques sont réels et potentiellement catastrophiques. Les organisations reconnaissent la nécessité d’une meilleure résilience et d’une meilleure préparation en matière de cybersécurité. Le temps n’est plus à la simple réaction aux attaques lorsqu’elles se produisent ; les entreprises doivent désormais se préparer de manière proactive à l’inévitable.

L’approche de la sécurité qui a le plus progressé ces dernières années est le concept Zero Trust dont le principe est simple : ne faire confiance à rien et tout vérifier. La raison d’être d’une telle architecture consiste dans le fait que les modèles de sécurité traditionnels basés sur le périmètre ne sont plus pertinents dans le contexte numérique actuel, de plus en plus distribué avec un réseau Internet devenu de facto le réseau d’entreprise. Les organisations doivent donc adopter une approche holistique de la sécurité, basée sur la vérification de l’identité et de la fiabilité de tous les utilisateurs, appareils, systèmes, voire objets,  qui accèdent à leurs réseaux et données.

Le concept de Zero Trust intéresse les chefs d’entreprise et les membres de conseils d’administration depuis un certain temps. Mais ce modèle n’est plus seulement un concept discuté, c’est désormais une réalité. Le travail à distance ou hybride étant devenu la norme et les cyberattaques continuant à se multiplier, les entreprises réalisent qu’elles doivent adopter une approche fondamentalement différente de la sécurité. Mais comme pour tout changement important de stratégie, la mise en œuvre peut être difficile, et les efforts peuvent parfois s’interrompre. Si de nombreuses entreprises ont commencé à implémenter des méthodes et les technologies Zero Trust, seules quelques-unes sont parvenues à les appliquer à l’ensemble de leur organisation.

L’émergence d’un nouveau rôle de leader

Et s’il manquait une pièce dans le puzzle de la cybersécurité ? C’est là qu’intervient le rôle de "Chief Zero Trust Officer" (CZTO) – un nouveau poste qui devrait se démocratiser dans les grandes organisations au cours des prochains mois.

Une telle fonction a été évoquée pour la première fois dans le mémorandum de la Maison Blanche demandant aux agences fédérales de progresser vers les principes de cybersécurité Zero Trust. Celui-ci exigeait qu’elles identifient et désignent dans les 30 jours, un responsable pour la mise en œuvre d’une telle stratégie dans leur organisation. Si l’on parle de "tsar" au sein des gouvernements, le titre de "Chief" est plus approprié dans une entreprise.

Les grandes organisations ont besoin de dirigeants forts pour faire avancer les choses de manière efficace. Les entreprises confient la responsabilité ultime de la direction à des personnes dont le titre commence par le qualificatif "Chief", comme le directeur général (CEO) ou le directeur financier (CFO). Ces postes ont pour but de fournir une orientation, de définir une stratégie, de prendre des décisions cruciales et de gérer les opérations quotidiennes. Ils sont souvent responsables devant le conseil d’administration des performances et du succès de l’entreprise.

Pourquoi un C-level pour le Zero Trust, et pourquoi maintenant ?

Selon l’adage, « quand tout le monde est responsable, personne n’est responsable ». En examinant les défis liés à la mise en œuvre d’une démarche Zero Trust en entreprise, il apparaît qu’un manque de leadership et de clarté dans les responsabilités constitue un problème majeur. La question de savoir qui est (exactement) responsable de l’adoption et de l’exécution de cette stratégie au sein de l’organisation demeure.

Les grandes entreprises ont besoin d’une seule personne qui soit responsable de conduire le projet. Ce leader doit disposer d’un mandat clair et d’un objectif unique : amener l’entreprise  au Zero Trust. C’est là qu’est née l’idée du Chief Zero Trust Officer qui n’est pas qu’un simple titre. Son impact est réel : il attire l’attention sur les questions de cybersécurité hors du champs purement technique et permet de surmonter de nombreux obstacles à la mise en oeuvre d’une stratégie  Zero trust adaptée à l’organisation de l’entreprise.