La pandémie mondiale a accéléré, de manière considérable et inattendue, la nécessité d'un nouveau modèle de sécurité réseau. La notion de sécurité Zero Trust n'est pas neuve, mais elle occupe désormais le devant de la scène. Les responsables de la sécurité s'accordent d'ailleurs à dire qu'elle permettra d'améliorer la sécurité, en simplifiant les processus de sécurité pour les équipes géographiquement dispersées et les réseaux hybrides.
Le déploiement du modèle s'avère complexe, toutefois, car il présente aux entreprises autant d'améliorations que d'obstacles.
L'adoption généralisée du télétravail (et par conséquent, le besoin d'une meilleure sécurité des effectifs distants) a encouragé les investissements dans la sécurité Zero Trust. La capacité d'authentifier et de surveiller tout le trafic, quelle que soit sa position à l'intérieur ou à l'extérieur d'un réseau d'entreprise, promet de réduire, voire d'éliminer de nombreux risques.
Toutefois, de nombreuses entreprises trouvent la mise en œuvre d'un modèle de sécurité de type Zero Trust compliquée. L'une des principales raisons en est que l'adoption de ce modèle est une véritable gageure à la fois d'un point de vue technique et logistique. La modernisation de la sécurité dépend souvent des progrès accomplis en matière de consolidation de l'identité des utilisateurs et de migration vers le cloud, qui sont tous deux des projets longs et complexes.
Alors, quel est l'état actuel de l'adoption du Zero Trust ? À quels défis les entreprises se sont elles retrouvées, par ailleurs, confrontées durant ce processus ?
Pour répondre à ces questions, Forrester Consulting a réalisé pendant la pandémie de 2020 une étude pour le compte de Cloudflare. Cette dernière concernait plus de 300 responsables de la sécurité du monde entier, interrogés sur les succès et les défis rencontrés par leurs entreprises suite à ces changements. Elle examinait les aspects suivants :
Les principales tendances commerciales et technologiques favorisant l'adoption du Zero Trust.
Les scénarios d'utilisation prévisionnels les plus populaires en matière de sécurité Zero Trust.
Les obstacles actuels à l'adoption du Zero Trust.
Le virage radical en faveur du télétravail a introduit des changements auxquels aucune entreprise n'était préparée. 52 % des responsables de la sécurité interrogés ont identifié le télétravail comme l'un des principaux facteurs affectant leurs programmes de sécurité informatique.
Dans le contexte de la pandémie, l'enquête a également mis en évidence une augmentation du nombre d'incidents de sécurité liés aux réseaux d'entreprise et aux données confidentielles. 55 % des responsables de la sécurité ont déclaré que leur organisation avait constaté une augmentation des attaques de phishing cette année. Par ailleurs, 58 % des responsables de la sécurité ont déclaré que leur organisation avait subi une violation de données, sous une forme ou une autre.
Le simple fait de rester connecté a également constitué un défi. De nombreuses équipes de sécurité ont constaté que leurs plates-formes VPN obsolètes ne parvenaient pas à gérer l'ensemble du trafic des télétravailleurs, et 46 % d'entre elles ont signalé des problèmes de latence résultant d'une utilisation accrue des VPN.
La mise en place d'une infrastructure de sécurité Zero Trust constitue une réponse naturelle à ces risques croissants, car elle permet d'atteindre les objectifs suivants :
Elle bloque les attaques de phishing en imposant des mesures supplémentaires de vérification de l'identité en amont de chaque application.
Elle empêche les auteurs d'attaques qui parviennent à accéder à une application ou un service d'avoir « carte blanche » pour accéder à l'ensemble du réseau interne.
Elle supprime la nécessité d'utiliser un VPN, car la vérification de l'identité est nécessaire pour accéder aux applications individuelles.
Le Zero Trust offre des avantages qui vont au-delà de la sécurité des réseaux. Elle simplifie les procédures d'accès et permet aux collaborateurs de travailler depuis des sites et des appareils plus variés, ce qui améliore à la fois la productivité et l'expérience des employés.
Les conclusions de notre enquête reflètent cette diversité. Lorsque nous avons interrogé les responsables de la sécurité sur leurs scénarios d'utilisation prioritaires de la sécurité Zero Trust, un scénario d'utilisation fréquent est sorti en tête : 87 % des répondants ont mentionné l'amélioration de la visibilité des charges de travail dans le Cloud. La raison est évidente : comprendre comment les employés utilisent le Cloud aide l'entreprise à optimiser ses investissements dans cette solution, en plus de faciliter la surveillance et la sécurisation des données, où qu'elles se trouvent.
Les trois scénarios d'utilisation du Zero Trust les plus populaires à ressortir ensuite de l'étude présentaient également la même diversité :
Garantir un accès sûr et rapide pour les développeurs (un choix important pour 83 % des personnes interrogées). En plus d'offrir une sécurité renforcée, ce scénario d'utilisation aide également les développeurs à accéder aux outils et aux environnements de manière plus fiable, avec des gains considérables en matière de productivité.
Démarrer ou étendre un programme BYOD (« Bring Your Own Device ») (sélectionné par 81 % des participants). Ce scénario d'utilisation permet également de réduire les coûts et peut éviter aux équipes informatiques de devoir gérer et mettre à jour les équipements de l'entreprise.
Remplacer les VPN surchargés (une réponse choisie par 71 % des personnes interrogées). L'approche Zero Trust s'avère non seulement plus sûre que l'utilisation de VPN, mais elle permet également aux collaborateurs d'accéder aux applications de manière plus fiable, tout en évitant aux équipes informatiques de devoir assurer le suivi des clients VPN.
Ces pressions extérieures et scénarios d'utilisation ont suscité un intérêt général pour la sécurité Zero Trust. Selon cette enquête, 80 % des responsables de la sécurité estiment que leur entreprise s'est engagée à adopter la sécurité Zero Trust. Par ailleurs, la moitié des organisations ont récemment élevé leur responsable de la sécurité de l'information au rang de membre du conseil d'administration, en raison de l'importance accordée à la sécurité Zero Trust et à la réduction des risques de cybersécurité.
Toutefois, cet intérêt n'a pas encore débouché sur une adoption concrète. 39 % seulement des entreprises interrogées ont déclaré avoir mené à terme un programme Zero Trust pilote cette année.
Quelles sont les raisons de ce retard généralisé ?
L'une des raisons tient probablement aux difficultés que comporte une migration généralisée vers le cloud. 80 % des entreprises ont ainsi accéléré leurs plans d'adoption du cloud en 2020, mais continuaient à manquer de préparation. Si de grands volumes de données n'ont pas encore été transférés de datacenters isolés vers le cloud, leur sécurisation à l'aide d'un outil de sécurité unique peut néanmoins devenir plus difficile.
Un autre obstacle s'est avéré tout aussi difficile à surmonter lors de l'adoption de la sécurité Zero Trust : la complexité de la gestion des identités et des accès (IAM). 76 % des responsables de la sécurité interrogés ont déclaré avoir des difficultés à adopter une approche Zero Trust en raison de la complexité des besoins d'accès des utilisateurs au sein de leur organisation. La sécurité Zero Trust recourt à une source fiable unique pour la gestion des identités ; toutefois, les grandes entreprises, en particulier, ont souvent cumulé plusieurs fournisseurs d'identité incompatibles au fil des ans. Elles doivent également analyser les modèles d'accès à de nombreuses d'applications, dont la plupart ne peuvent être arrêtées, même brièvement, dans le cadre d'une migration vers une nouvelle plate-forme de gestion des identités.
Que peuvent faire les responsables de la sécurité pour surmonter ces défis ? Voici, brièvement, trois approches qu'ils peuvent envisager d'adopter :
Opter pour une plateforme Zero Trust dotée de fonctionnalités d'accès en libre-service. À l'image de la migration vers le cloud, la gestion des modèles d'accès des utilisateurs ne sera jamais simple. Pour accorder le temps nécessaire à ce travail important, les responsables de la sécurité doivent chercher des outils Zero Trust capables d'accomplir d'autres actions de gestion des accès (par exemple, l'intégration d'applications ou la création de rôles et d'autorisations basées sur les rôles), de manière aussi facile et autonome que possible.
Réduire progressivement la dépendance aux VPN, en commençant par les applications pour développeurs. Les responsables de la sécurité s'accordent à dire que les VPN sont surchargés et inefficaces dans un environnement de télétravail. Les plateformes d'accès réseau Zero Trust éliminent la latence due au routage du trafic lié à l'utilisation d'un VPN au profit d'une protection basée sur l'identité pour chaque application. Les applications destinées aux développeurs (comme Jira, Jenkins et Grafana) constituent une excellente base commune pour ce processus.
Envisager l'utilisation de plateformes intégrées capables d'évoluer avec l'entreprise tout au long du parcours d'adoption. L'utilisation de plusieurs solutions ponctuelles s'avère plus difficile à gérer dans le cadre de la mise en œuvre du Zero Trust. Cette approche comporte en outre davantage de risques, car chaque solution constitue un point de défaillance supplémentaire.
Ces conclusions ont été compilées par Forrester au sein d'une étude mandatée par Cloudflare. Les résultats reposent sur une étude réalisée auprès de 317 responsables de la sécurité à travers le monde, représentant plus de 20 secteurs. Les personnes interrogées sont issues d'entreprises de différentes tailles : 32 % d'entre elles officient ainsi au sein d'entreprises de plus de 5 000 employés et 17 % au sein d'entreprises de 500 employés ou moins.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Les tendances affectant l'informatique d'entreprise
Les résultats d'une étude réalisée auprès de plus de 300 responsables de la sécurité autour du monde
Le scénario d'utilisation le plus populaire en matière de Zero Trust
Comment surmonter les obstacles principaux à l'adoption du Zero Trust
Pour étudier les conclusions de manière plus approfondie, téléchargez le rapport « » (Les dirigeants se sont désormais engagés à adopter l'approche Zero Trust).