La situation actuelle de la sécurité Zero Trust

Comment 2020 a accéléré la sécurité des réseaux

Les événements de 2020 ont accéléré, de manière considérable et inattendue, la nécessité d'un nouveau modèle de sécurité des réseaux. La notion de sécurité Zero Trust n'est pas nouvelle, mais elle occupe désormais le devant de la scène, et les responsables de la sécurité s'accordent à dire qu'elle améliorera la sécurité et simplifiera les processus de sécurité pour les équipes distribuées et les réseaux hybrides.

Cependant, le déploiement du modèle s'avère complexe, puisqu'il présente aux organisations autant d'améliorations que d'obstacles.

L'adoption généralisée du télétravail (et par conséquent, le besoin d'une meilleure sécurité des télétravailleurs) a encouragé les investissements dans la sécurité Zero Trust. La capacité d'authentifier et de surveiller tout le trafic, quelle que soit sa position à l'intérieur ou à l'extérieur d'un réseau d'entreprise, promet de réduire, voire d'éliminer de nombreux risques de sécurité.

Toutefois, de nombreuses organisations trouvent la mise en œuvre d'une approche de la sécurité Zero Trust compliquée. Une des principales raisons est que l'adoption d'un modèle Zero Trust constitue à la fois un défi technique et un défi logistique. La modernisation de la sécurité dépend souvent des progrès accomplis en matière de consolidation de l'identité des utilisateurs et de migration vers le Cloud, qui sont tous deux des projets longs et complexes.

Alors, quel est l'état actuel de l'adoption de la sécurité Zero Trust ? Quels sont, par ailleurs, les défis auxquels les organisations ont été confrontées durant ce processus ?

Pour répondre à ces questions, Forrester Consulting a récemment réalisé une étude au nom de Cloudflare. L'enquête a été adressée à plus de 300 responsables de la sécurité du monde entier, qui étaient interrogés sur les succès et les défis rencontrés par leurs organisations suite aux changements survenus en 2020. L'étude examinait les aspects suivants :

Les principales tendances externes impactant les systèmes informatiques des entreprises : télétravail, violations de données et VPN

L'année 2020 a introduit des changements auxquels aucune entreprise n'avait pu se préparer. 52 % des responsables de la sécurité interrogés considèrent le télétravail comme l'un des principaux facteurs impactant leurs programmes de sécurité informatique en 2020.

Dans le contexte de la pandémie, l'enquête a également mis en évidence une augmentation du nombre d'incidents de sécurité liés aux réseaux d'entreprise et aux données confidentielles. 55 % des responsables de la sécurité ont déclaré que leur organisation avait constaté une augmentation des attaques de phishing cette année. Par ailleurs, 58 % des responsables de la sécurité ont déclaré que leur organisation avait subi une violation de données, sous une forme ou une autre.

Le simple fait de rester connecté a également constitué un défi. De nombreuses équipes de sécurité ont constaté que leurs plates-formes VPN obsolètes ne parvenaient pas à gérer l'ensemble du trafic des télétravailleurs, et 46 % d'entre elles ont signalé des problèmes de latence résultant d'une utilisation accrue des VPN.

Une infrastructure de sécurité Zero Trust est une réponse naturelle à ces risques croissants, car elle permet d'atteindre les objectifs suivants :

Scénarios d'utilisation de la sécurité Zero Trust : les organisations en attendent de nombreux avantages

La sécurité Zero Trust offre des avantages qui vont au-delà de la sécurité des réseaux. Elle simplifie les procédures d'accès et permet aux employés de travailler depuis des sites et des appareils plus variés, ce qui améliore à la fois productivité et l'expérience des employés.

Les conclusions de notre enquête reflètent cette diversité. Lorsque nous avons interrogé les responsables de la sécurité sur leurs scénarios d'utilisation prioritaires de la sécurité Zero Trust, un scénario d'utilisation fréquent est sorti en tête : 87 % des répondants ont mentionné l'amélioration de la visibilité des charges de travail dans le Cloud. La raison est facilement compréhensible : comprendre comment les employés utilisent le Cloud aide l'entreprise à optimiser ses investissements dans cette solution, en plus de faciliter la surveillance et la sécurisation des données, où qu'elles se trouvent.

Les trois scénarios d'utilisation très courants de la sécurité Zero Trust ci-dessous présentaient également la même diversité :

Progrès et principaux obstacles à l'adoption d'un modèle Zero Trust

Ces pressions extérieures et scénarios d'utilisation ont suscité un intérêt général pour la sécurité Zero Trust. L'enquête révèle que 80 % des responsables de la sécurité déclarent que leur entreprise s'est engagée à adopter la sécurité Zero Trust. Par ailleurs, la moitié des organisations ont récemment élevé leur responsable de la sécurité de l'information au rang de membre du conseil d'administration, en raison de l'importance accordée à la sécurité Zero Trust et à la réduction des risques de cybersécurité.

Toutefois, cet intérêt n'a pas encore débouché sur une adoption concrète. 39 % seulement des organisations interrogées ont déclaré avoir mené à terme un essai de la sécurité Zero Trust cette année.

Quelles sont les raisons de ce retard généralisé ?

Une des raisons tient probablement aux difficultés que comporte une migration globale vers le Cloud. 80 % des organisations ont accéléré leurs plans d'adoption du Cloud en 2020, mais n'étaient pas préparées. Si de grands volumes de données n'ont pas encore été transférés de datacenters isolés vers le Cloud, il peut être plus difficile de les sécuriser avec un outil de sécurité unique.

Un autre obstacle s'est avéré tout aussi difficile à surmonter lors de l'adoption de la sécurité Zero Trust : la complexité de la gestion des identités et des accès (IAM). 76 % des responsables de la sécurité interrogés ont déclaré avoir des difficultés à adopter une approche Zero Trust en raison de la complexité des besoins d'accès des utilisateurs au sein de leur organisation. La sécurité Zero Trust recourt à une source fiable unique pour la gestion des identités ; toutefois, les grandes entreprises, en particulier, ont souvent cumulé plusieurs fournisseurs d'identité incompatibles au fil des ans. Elles doivent également analyser les modèles d'accès à de nombreuses d'applications, dont la plupart ne peuvent être arrêtées, même brièvement, dans le cadre d'une migration vers une nouvelle plate-forme de gestion des identités.

Que peuvent faire les responsables de la sécurité pour surmonter ces défis ? Voici, brièvement, trois approches qu'ils peuvent envisager d'adopter :

Explorez ces conclusions de manière plus approfondie

Ces conclusions ont été compilées par Forrester en septembre 2020, dans une étude mandatée par Cloudflare. Les résultats reposent sur des enquêtes menées auprès de 317 responsables de la sécurité dans le monde, dans plus de 20 secteurs de l'industrie. Les répondants sont issus d'entreprises de différentes tailles ; 32 % d'entre eux travaillent dans des organisations de plus de 5 000 personnes et 17 % dans des organisations de 500 personnes ou moins.

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui affectent les décideurs d’aujourd’hui dans le secteur des technologies.

Approfondir ce sujet

Pour étudier les conclusions de manière plus approfondie, téléchargez le rapport « Leaders Are Now Committed To Zero Trust » (Les dirigeants se sont désormais engagés à adopter l'approche Zero Trust).

Consulter le rapport

Dive deeper on this topic

To explore the complete findings in more depth, download the Leaders Are Now Committed To Zero Trust report.