La situation actuelle de la sécurité Zero Trust

Comment l'adoption du télétravail a dynamisé la sécurité réseau

La pandémie mondiale a accéléré, de manière considérable et inattendue, la nécessité d'un nouveau modèle de sécurité réseau. La notion de sécurité Zero Trust n'est pas neuve, mais elle occupe désormais le devant de la scène. Les responsables de la sécurité s'accordent d'ailleurs à dire qu'elle permettra d'améliorer la sécurité, en simplifiant les processus de sécurité pour les équipes géographiquement dispersées et les réseaux hybrides.

Le déploiement du modèle s'avère complexe, toutefois, car il présente aux entreprises autant d'améliorations que d'obstacles.

L'adoption généralisée du télétravail (et par conséquent, le besoin d'une meilleure sécurité des effectifs distants) a encouragé les investissements dans la sécurité Zero Trust. La capacité d'authentifier et de surveiller tout le trafic, quelle que soit sa position à l'intérieur ou à l'extérieur d'un réseau d'entreprise, promet de réduire, voire d'éliminer de nombreux risques.

Toutefois, de nombreuses entreprises trouvent la mise en œuvre d'une approche Zero Trust en matière de sécurité compliquée. L'une des principales raisons en est que l'adoption de ce modèle constitue à la fois un défi technique et un défi logistique. La modernisation de la sécurité dépend souvent des progrès accomplis en matière de consolidation de l'identité des utilisateurs et de migration vers le cloud, qui sont tous deux des projets longs et complexes.

Alors, quel est l'état actuel de l'adoption du Zero Trust ? À quels défis les entreprises se sont elles retrouvées, par ailleurs, confrontées durant ce processus ?

Pour répondre à ces questions, Forrester Consulting a récemment réalisé une étude pour le compte de Cloudflare. Cette dernière concernait plus de 300 responsables de la sécurité du monde entier, interrogés sur les succès et les défis rencontrés par leurs entreprises suite à ces changements. Elle examinait les aspects suivants :

  • Les principales tendances commerciales et technologiques favorisant l'adoption du Zero Trust.

  • Les scénarios d'utilisation prévisionnels les plus populaires en matière de sécurité Zero Trust.

  • Les obstacles actuels à l'adoption du Zero Trust.

Les principales tendances externes impactant les systèmes informatiques des entreprises : télétravail, violations de données et VPN

Le virage radical en faveur du télétravail a introduit des changements auxquels aucune entreprise n'était préparée. 52 % des responsables de la sécurité interrogés ont identifié le télétravail comme l'un des principaux facteurs affectant leurs programmes de sécurité informatique.

Dans le contexte de la pandémie, l'enquête a également mis en évidence une augmentation du nombre d'incidents de sécurité liés aux réseaux d'entreprise et aux données confidentielles. 55 % des responsables de la sécurité ont déclaré que leur entreprise avait constaté une augmentation des attaques par phishing cette année. Par ailleurs, 58 % des responsables de la sécurité ont déclaré que leur entreprise avait fait les frais d'une violation de données, sous une forme ou une autre.

Le simple fait de rester connecté a également constitué un défi. De nombreuses équipes de sécurité ont constaté que leurs plates-formes VPN obsolètes ne parvenaient pas à gérer l'ensemble du trafic des télétravailleurs, et 46 % d'entre elles ont signalé des problèmes de latence résultant d'une utilisation accrue des VPN.

La mise en place d'une infrastructure de sécurité Zero Trust constitue une réponse naturelle à ces risques croissants, car elle permet d'atteindre les objectifs suivants :

  • Elle bloque les attaques de phishing en imposant des mesures supplémentaires de vérification de l'identité en amont de chaque application.

  • Elle empêche les auteurs d'attaques qui parviennent à accéder à une application ou un service d'avoir « carte blanche » pour accéder à l'ensemble du réseau interne.

  • Elle supprime la nécessité d'utiliser un VPN, car la vérification de l'identité est nécessaire pour accéder aux applications individuelles.

Scénarios d'utilisation du Zero Trust : les entreprises en attendent de nombreux avantages

Le Zero Trust offre des avantages qui vont au-delà de la sécurité des réseaux. Elle simplifie les procédures d'accès et permet aux collaborateurs de travailler depuis des sites et des appareils plus variés, ce qui améliore à la fois la productivité et l'expérience des employés.

Les conclusions de notre étude reflètent cette diversité. Lorsque nous avons interrogé les responsables de la sécurité sur leurs scénarios d'utilisation prioritaires en matière de Zero Trust, un scénario d'utilisation fréquent est sorti en tête : 87 % des responsables interrogés ont mentionné l'amélioration de la visibilité des charges de travail dans le cloud. Cette raison s'explique d'ailleurs facilement : la compréhension de la manière dont les employés utilisent le cloud aide l'entreprise à optimiser ses investissements en la matière, sans même parler des possibilités offertes par cette solution en termes de surveillance et de sécurisation des données, où qu'elles se trouvent.

Les trois scénarios d'utilisation du Zero Trust les plus populaires à ressortir ensuite de l'étude présentaient également la même diversité :

  • Garantir un accès sûr et rapide pour les développeurs (un choix important pour 83 % des personnes interrogées). En plus d'offrir une sécurité renforcée, ce scénario d'utilisation aide également les développeurs à accéder aux outils et aux environnements de manière plus fiable, avec des gains considérables en matière de productivité.

  • Démarrer ou étendre un programme BYOD (« Bring Your Own Device ») (sélectionné par 81 % des participants). Ce scénario d'utilisation permet également de réduire les coûts et peut éviter aux équipes informatiques de devoir gérer et mettre à jour les équipements de l'entreprise.

  • Remplacer les VPN surchargés (une réponse choisie par 71 % des personnes interrogées). L'approche Zero Trust s'avère non seulement plus sûre que l'utilisation de VPN, mais elle permet également aux collaborateurs d'accéder aux applications de manière plus fiable, tout en évitant aux équipes informatiques de devoir assurer le suivi des clients VPN.

Progrès et principaux obstacles à l'adoption du Zero Trust

Ces pressions extérieures et scénarios d'utilisation ont suscité un intérêt général pour la sécurité Zero Trust. L'étude révèle que 80 % des responsables de la sécurité interrogés déclarent que leur entreprise s'est engagée à adopter le modèle Zero Trust. Par ailleurs, la moitié des entreprises ont récemment élevé leur responsable de la sécurité de l'information au rang de membre du conseil d'administration, en raison de l'importance accordée au Zero Trust et à la réduction des cyber-risques.

Toutefois, cet intérêt n'a pas encore débouché sur une adoption concrète. 39 % seulement des entreprises interrogées ont déclaré avoir mené à terme un programme Zero Trust pilote cette année.

Quelles sont les raisons de ce retard généralisé ?

Une des raisons tient probablement aux difficultés que comporte une migration globale vers le Cloud. 80 % des organisations ont accéléré leurs plans d'adoption du Cloud en 2020, mais n'étaient pas préparées. Si de grands volumes de données n'ont pas encore été transférés de datacenters isolés vers le Cloud, il peut être plus difficile de les sécuriser avec un outil de sécurité unique.

Un autre obstacle s'est avéré tout aussi difficile à surmonter lors de l'adoption du Zero Trust : la complexité de la gestion des identités et des accès (IAM). 76 % des responsables de la sécurité interrogés ont déclaré avoir des difficultés à adopter une approche Zero Trust en raison des complexités liées aux besoins en matière d'accès des utilisateurs au sein de leur entreprise. Le Zero Trust s'appuie sur un référentiel unique pour la gestion des identités. Toutefois, les grandes entreprises finissent souvent par cumuler plusieurs fournisseurs d'identité incompatibles au fil des ans. Elles doivent également analyser les modèles d'accès à de nombreuses d'applications, dont la plupart ne peuvent être arrêtées (même brièvement) afin de procéder à leur migration vers une nouvelle plateforme de gestion des identités.

Que peuvent faire les responsables de la sécurité pour surmonter ces défis ? Voici, brièvement, trois approches qu'ils peuvent envisager d'adopter :

  • Opter pour un outil Zero Trust doté de fonctionnalités d'accès en libre-service. À l'image de la migration vers le cloud, la gestion des modèles d'accès des utilisateurs ne sera jamais simple. Pour accorder le temps nécessaire à ce travail important, les responsables de la sécurité doivent chercher des outils Zero Trust capables d'accomplir d'autres actions de gestion des accès (par exemple, l'intégration d'applications ou la création de rôles et d'autorisations basées sur les rôles), de manière aussi facile et autonome que possible.

  • Réduire progressivement la dépendance aux VPN, en commençant par les applications pour développeurs. Les responsables de la sécurité s'accordent à dire que les VPN sont surchargés et inefficaces dans un environnement de télétravail. Les plateformes d'accès réseau Zero Trust éliminent la latence due au routage du trafic lié à l'utilisation d'un VPN au profit d'une protection basée sur l'identité pour chaque application. Les applications destinées aux développeurs (comme Jira, Jenkins et Grafana) constituent une excellente base commune pour ce processus.

  • Envisager l'utilisation de plateformes intégrées capables d'évoluer avec l'entreprise tout au long du parcours d'adoption. L'utilisation de plusieurs solutions ponctuelles s'avère plus difficile à gérer dans le cadre de la mise en œuvre du Zero Trust. Cette approche comporte en outre davantage de risques, car chaque solution constitue un point de défaillance supplémentaire.

Explorez ces conclusions de manière plus approfondie

Ces conclusions ont été compilées par Forrester au sein d'une étude mandatée par Cloudflare. Les résultats reposent sur une étude réalisée auprès de 317 responsables de la sécurité à travers le monde, représentant plus de 20 secteurs. Les personnes interrogées sont issues d'entreprises de différentes tailles : 32 % d'entre elles officient ainsi au sein d'entreprises de plus de 5 000 employés et 17 % au sein d'entreprises de 500 employés ou moins.

Cet article fait partie de notre série consacrée aux dernières tendances et évolutions qui affectent les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

  • Les tendances affectant l'informatique d'entreprise.

  • Les résultats d'une étude réalisée auprès de plus de 300 responsables de la sécurité autour du monde.

  • Le scénario d'utilisation le plus populaire en matière de Zero Trust.

  • Comment surmonter les obstacles principaux à l'adoption du Zero Trust.

RESSOURCES ASSOCIÉES


Approfondir le sujet

Pour étudier les conclusions de manière plus approfondie, téléchargez le rapport « Leaders Are Now Committed To Zero Trust » (Les dirigeants se sont désormais engagés à adopter l'approche Zero Trust).

Get the report

Bénéficiez d'un récapitulatif mensuel des tendances Internet les plus populaires !