La situation actuelle de la sécurité Zero Trust

Comment 2020 a accéléré la sécurité des réseaux

Les événements de 2020 ont accéléré, de manière considérable et inattendue, la nécessité d'un nouveau modèle de sécurité des réseaux. La notion de sécurité Zero Trust n'est pas nouvelle, mais elle occupe désormais le devant de la scène, et les responsables de la sécurité s'accordent à dire qu'elle améliorera la sécurité et simplifiera les processus de sécurité pour les équipes distribuées et les réseaux hybrides.

Cependant, le déploiement du modèle s'avère complexe, puisqu'il présente aux organisations autant d'améliorations que d'obstacles.

L'adoption généralisée du télétravail (et par conséquent, le besoin d'une meilleure sécurité des télétravailleurs) a encouragé les investissements dans la sécurité Zero Trust. La capacité d'authentifier et de surveiller tout le trafic, quelle que soit sa position à l'intérieur ou à l'extérieur d'un réseau d'entreprise, promet de réduire, voire d'éliminer de nombreux risques de sécurité.

Toutefois, de nombreuses organisations trouvent la mise en œuvre d'une approche de la sécurité Zero Trust compliquée. Une des principales raisons est que l'adoption d'un modèle Zero Trust constitue à la fois un défi technique et un défi logistique. La modernisation de la sécurité dépend souvent des progrès accomplis en matière de consolidation de l'identité des utilisateurs et de migration vers le Cloud, qui sont tous deux des projets longs et complexes.

Alors, quel est l'état actuel de l'adoption de la sécurité Zero Trust ? Quels sont, par ailleurs, les défis auxquels les organisations ont été confrontées durant ce processus ?

Pour répondre à ces questions, Forrester Consulting a récemment réalisé une étude au nom de Cloudflare. L'enquête a été adressée à plus de 300 responsables de la sécurité du monde entier, qui étaient interrogés sur les succès et les défis rencontrés par leurs organisations suite aux changements survenus en 2020. L'étude examinait les aspects suivants :

  • Les principales tendances commerciales et technologiques favorisant l'adoption d'un modèle Zero Trust
  • Les scénarios d'utilisation prévisionnels les plus courants de la sécurité Zero Trust
  • Les obstacles actuels à l'adoption de la sécurité Zero Trust

Les principales tendances externes impactant les systèmes informatiques des entreprises : télétravail, violations de données et VPN

L'année 2020 a introduit des changements auxquels aucune entreprise n'avait pu se préparer. 52 % des responsables de la sécurité interrogés considèrent le télétravail comme l'un des principaux facteurs impactant leurs programmes de sécurité informatique en 2020.

Dans le contexte de la pandémie, l'enquête a également mis en évidence une augmentation du nombre d'incidents de sécurité liés aux réseaux d'entreprise et aux données confidentielles. 55 % des responsables de la sécurité ont déclaré que leur organisation avait constaté une augmentation des attaques de phishing cette année. Par ailleurs, 58 % des responsables de la sécurité ont déclaré que leur organisation avait subi une violation de données, sous une forme ou une autre.

Le simple fait de rester connecté a également constitué un défi. De nombreuses équipes de sécurité ont constaté que leurs plates-formes VPN obsolètes ne parvenaient pas à gérer l'ensemble du trafic des télétravailleurs, et 46 % d'entre elles ont signalé des problèmes de latence résultant d'une utilisation accrue des VPN.

Une infrastructure de sécurité Zero Trust est une réponse naturelle à ces risques croissants, car elle permet d'atteindre les objectifs suivants :

  • Elle bloque les attaques de phishing en imposant des mesures supplémentaires de vérification de l'identité en amont de chaque application.
  • Elle empêche les auteurs d'attaques qui parviennent à accéder à une application ou un service d'avoir « carte blanche » pour accéder à l'ensemble du réseau interne.
  • Elle supprime la nécessité d'utiliser un VPN, car la vérification de l'identité est nécessaire pour accéder aux applications individuelles.

Scénarios d'utilisation de la sécurité Zero Trust : les organisations en attendent de nombreux avantages

La sécurité Zero Trust offre des avantages qui vont au-delà de la sécurité des réseaux. Elle simplifie les procédures d'accès et permet aux employés de travailler depuis des sites et des appareils plus variés, ce qui améliore à la fois productivité et l'expérience des employés.

Les conclusions de notre enquête reflètent cette diversité. Lorsque nous avons interrogé les responsables de la sécurité sur leurs scénarios d'utilisation prioritaires de la sécurité Zero Trust, un scénario d'utilisation fréquent est sorti en tête : 87 % des répondants ont mentionné l'amélioration de la visibilité des charges de travail dans le Cloud. La raison est facilement compréhensible : comprendre comment les employés utilisent le Cloud aide l'entreprise à optimiser ses investissements dans cette solution, en plus de faciliter la surveillance et la sécurisation des données, où qu'elles se trouvent.

Les trois scénarios d'utilisation très courants de la sécurité Zero Trust ci-dessous présentaient également la même diversité :

  • Garantir un accès sûr et rapide pour les développeurs (un choix important pour 83 % des répondants). En plus d'offrir une sécurité renforcée, ce scénario d'utilisation aide également les développeurs à accéder aux outils et aux environnements de manière plus fiable, augmentant ainsi considérablement la productivité.
  • Démarrer ou étendre un programme BYOD (« Bring Your Own Device ») (sélectionné par 81 % des participants). Ce scénario d'utilisation permet également de réduire les coûts, et peut éviter aux équipes informatiques de devoir gérer et mettre à jour les équipements de l'entreprise.
  • Remplacer les VPN surchargés (choisi par 71 % des personnes interrogées). Le modèle Zero Trust est plus sûr que les VPN, mais permet également aux employés d'accéder aux applications de manière plus fiable, tout en évitant aux équipes informatiques de devoir assurer le suivi des clients VPN.

Progrès et principaux obstacles à l'adoption d'un modèle Zero Trust

Ces pressions extérieures et scénarios d'utilisation ont suscité un intérêt général pour la sécurité Zero Trust. L'enquête révèle que 80 % des responsables de la sécurité déclarent que leur entreprise s'est engagée à adopter la sécurité Zero Trust. Par ailleurs, la moitié des organisations ont récemment élevé leur responsable de la sécurité de l'information au rang de membre du conseil d'administration, en raison de l'importance accordée à la sécurité Zero Trust et à la réduction des risques de cybersécurité.

Toutefois, cet intérêt n'a pas encore débouché sur une adoption concrète. 39 % seulement des organisations interrogées ont déclaré avoir mené à terme un essai de la sécurité Zero Trust cette année.

Quelles sont les raisons de ce retard généralisé ?

Une des raisons tient probablement aux difficultés que comporte une migration globale vers le Cloud. 80 % des organisations ont accéléré leurs plans d'adoption du Cloud en 2020, mais n'étaient pas préparées. Si de grands volumes de données n'ont pas encore été transférés de datacenters isolés vers le Cloud, il peut être plus difficile de les sécuriser avec un outil de sécurité unique.

Un autre obstacle s'est avéré tout aussi difficile à surmonter lors de l'adoption de la sécurité Zero Trust : la complexité de la gestion des identités et des accès (IAM). 76 % des responsables de la sécurité interrogés ont déclaré avoir des difficultés à adopter une approche Zero Trust en raison de la complexité des besoins d'accès des utilisateurs au sein de leur organisation. La sécurité Zero Trust recourt à une source fiable unique pour la gestion des identités ; toutefois, les grandes entreprises, en particulier, ont souvent cumulé plusieurs fournisseurs d'identité incompatibles au fil des ans. Elles doivent également analyser les modèles d'accès à de nombreuses d'applications, dont la plupart ne peuvent être arrêtées, même brièvement, dans le cadre d'une migration vers une nouvelle plate-forme de gestion des identités.

Que peuvent faire les responsables de la sécurité pour surmonter ces défis ? Voici, brièvement, trois approches qu'ils peuvent envisager d'adopter :

  • Opter pour un outil Zero Trust doté de fonctionnalités d'accès en libre-service. À l'image de la migration vers le Cloud, la gestion des modèles d'accès des utilisateurs ne sera jamais simple. Pour accorder le temps nécessaire à ce travail important, les responsables de la sécurité doivent chercher des outils Zero Trust qui accomplissent d'autres actions de gestion des accès (par exemple, l'intégration d'applications ou la création de rôles et d'autorisations basées sur les rôles), de manière aussi facile et autonome que possible.
  • Réduire progressivement la dépendance à un VPN, en commençant par les applications pour développeurs. Les responsables de la sécurité s'accordent à dire que les VPN sont surchargés et inefficaces dans un environnement de télétravail. Les plates-formes d'accès réseau Zero Trust éliminent la latence due au routage du trafic d'un VPN au profit d'une protection basée sur l'identité pour chaque application. Les applications pour développeurs telles que Jira, Jenkins et Grafana sont un excellent point de départ commun pour ce processus.
  • Envisager l'utilisation de plates-formes intégrées pouvant évoluer avec vous tout au long de votre parcours d'adoption. L'utilisation de solutions à points multiples pour la mise en œuvre de la sécurité Zero Trust est plus difficile à gérer. De plus, elle comporte davantage de risques, car chaque solution constitue un point de défaillance supplémentaire.

Explorez ces conclusions de manière plus approfondie

Ces conclusions ont été compilées par Forrester en septembre 2020, dans une étude mandatée par Cloudflare. Les résultats reposent sur des enquêtes menées auprès de 317 responsables de la sécurité dans le monde, dans plus de 20 secteurs de l'industrie. Les répondants sont issus d'entreprises de différentes tailles ; 32 % d'entre eux travaillent dans des organisations de plus de 5 000 personnes et 17 % dans des organisations de 500 personnes ou moins.

Pour étudier les conclusions de manière plus approfondie, téléchargez le rapport « Leaders Are Now Committed To Zero Trust ».

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui affectent les décideurs d’aujourd’hui dans le secteur des technologies.