Zero Trust 2022

Secu

Le pourcentage des entreprises ayant des initiatives Zero Trust a plus que doublé en un an

Par Laurent Delattre, publié le 27 septembre 2022

Le Zero Trust… Pendant longtemps tout le monde en a parlé sans savoir vraiment comme y aller. Le nouveau rapport Okta constate toutefois qu’en 2022 le chemin paraît désormais plus clair dans presque toutes les entreprises et tous les secteurs…

Dans un paysage informatique d’entreprise de plus en plus hybride et réparti, la sécurité sans confiance, dit autrement « Zero Trust » s’impose comme l’approche la plus globale et la plus pragmatique : pour éviter les incidents, faisons en sorte de n’accorder aucune confiance par défaut, à qui que ce soit et quoi que ce soit, de sorte que même en cas de compromission, les dégâts soient le plus limités possible.

Le nouveau rapport Okta « The State of Zero Trust Security 2022 » tente de faire un état des lieux des approches Zero Trust et d’évaluer la maturité des entreprises en la matière. Il constate que « aujourd’hui, les cadres dirigeants partout dans le monde adoptent le framework de sécurité Zero Trust, qui est passé en peu de temps du statut de concept à la mode à celui d’avantage stratégique, puis d’impératif métier ». D’ailleurs depuis la publication du rapport 2021, le pourcentage des entreprises ayant des initiatives Zero Trust en cours d’exécution a plus que doublé, passant de 24 % à 55 %.

À LIRE AUSSI :

Selon Forrester, l’approche Zero Trust défend trois principes fondamentaux : par défaut, aucune entité n’est fiable ; un accès sur le principe du moindre privilège est appliqué ; et une surveillance complète de la sécurité est implémentée.

La publication 2022 marque déjà la quatrième édition du rapport Okta. En 2019, seulement 16% des entreprises avaient défini ou réfléchissaient à une initiative Zero Trust. Quatre ans plus tard, en 2022, 97% des entreprises interrogées affirment avoir défini leur approche Zero Trust ou prévoient de le faire dans l’année à venir.

Partout dans le monde, le pourcentage d’entreprise ayant démarré une réflexion Zero Trust a plus que doublé en un an. Clairement le Zero Trust n’est plus un Buzz Word mais un nouvel impératif de cyber-résilience.

Par ailleurs, 9 entreprises sur 10 de la région EMEA indiquent avoir augmenté leurs investissements dans un modèle Zero Trust et prévoient d’augmenter encore leur budget de manière significative.

Bien évidemment, une stratégie Zero Trust ne se construit pas en un jour. C’est un chantier long et complexe où chaque entreprise tend à définir ses propres priorités. Des priorités que l’enquête d’Okta tente de classer. Sans grande surprise, priorité est donnée dans l’ordre aux données, aux terminaux puis au réseau.

Sans surprise, les données, les réseaux et les terminaux sont toujours cités comme des catégories prioritaires. toutefois, ce classement devrait changer à mesure que les entreprises prennent conscience que le périmètre de sécurité est davantage axé sur les utilisateurs que sur le réseau.

Comme le souligne le rapport, « le Zero Trust est un principe directeur solide, mais atteindre cet objectif constitue une tâche complexe qui exige un grand nombre de solutions de pointe étroitement intégrées et fonctionnant ensemble de façon transparente. Chaque entreprise possède son propre point de départ ainsi que des ressources et priorités différentes, ce qui génère des parcours uniques pour atteindre le même but : une vraie sécurité Zero Trust ».

Considérant que la brique IAM (gestion des identités et des accès) constitue un socle incontournable, les entreprises cherchent ensuite à intégrer leurs autres outils de sécurité. Priorité est donnée aux solutions SIEM, EDR et SOAR (orchestration et automatisation). On s’étonnera d’ailleurs que le PAM (gestion des comptes à privilèges) ne soit pas plus haut dans cette liste des priorités.

La protection Zero Trust mise en place est plus efficace si l’entreprise parvient à intégrer sa solution IAM à l’ensemble de son architecture de sécurité : gestion des événements de sécurité (SIEM), Endpoint Detection & Response (EDR), orchestration et automatisation (SOAR), gestion de la mobilité d’entreprise (EMM), gestion unifiée (UEM) ou gestion des appareils mobiles (MDM), CASB (Cloud Access Security Broker), gestion des accès à privilèges (PAM), Gouvernance et administration des identités (IGA), les passerelles de sécurisation des emails (SEG)….

Pour comprendre la maturité des entreprises dans cette démarche, Okta a défini un modèle composé de 5 niveaux allant des initiatives de base à une gestion des identités totalement intégrée aux pratiques et sans mot de passe.

Les 5 niveaux de maturité “Zero Trust” selon Okta

Seulement 2% des entreprises interrogées atteignent dès aujourd’hui le niveau 5. Les trois quarts des entreprises en sont encore au niveau 1 et 2. L’enquête révèle ainsi que plus de 70% des entreprises interrogées dans le monde ont déjà dépassé la phase 1 (modèle traditionnel). 95% prévoient de finaliser leurs projets de phase 1 dans les 12 à 18 mois et travaillent déjà sur les projets liés à l’identité se trouvant plus avant sur la courbe de maturité (80% des entreprises ont par exemple déjà étendu le SSO à leurs collaborateurs mais seulement 38% ont étendu le MFA aux utilisateurs externes).

À LIRE AUSSI :

Les rapporteurs constatent ensuite que « le Zero Trust ne progresse pas de la même façon après la phase 2. Cependant près la moitié des entreprises interrogées dans le monde ont terminé plusieurs projets liés à l’identité et donc progressé sur la courbe de maturité ».

Où en sont les entreprises dans leur voyage vers la pleine maturité du Zero Trust?

Et bien essentiellement aux niveaux 1 et 2. Au-delà les défis d’implémentation se heurtent au manque de compétences internes et aux résistances aux changements, une stratégie Zero Trust mature impliquant des changements organisationnels et culturels.

Enfin, et sans surprise, le rapport constate que, quel que soit le secteur d’activité, les mêmes quatre principaux défis freinent l’implémentation d’une stratégie de sécurité Zero Trust : la pénurie de talents et de compétences, l’adhésion des parties prenantes, les coûts et la sensibilisation à l’importance des solutions de sécurité appuyant le Zero Trust.

Au final on retiendra de ce rapport que les approches Zero Trust progressent dans tous les secteurs d’activité. Ce n’est clairement plus un phénomène de mode. Les entreprises ont désormais, un peu partout dans le monde, défini des plans de mise en place. Mais plus elles avancent dans la hiérarchie des niveaux de maturité « Zero Trust » plus elles sont freinées par des défis d’implémentation qui requièrent non seulement davantage de compétences mais aussi des refontes organisationnelles importantes avec des changements d’habitudes forcément perturbants pour les utilisateurs.

À LIRE AUSSI :

Dans l'actualité