La situation actuelle du Zero Trust
Comment l'adoption du télétravail a dynamisé la sécurité réseau
La pandémie mondiale a accéléré, de manière considérable et inattendue, la nécessité d'un nouveau modèle de sécurité réseau. La notion de sécurité Zero Trust n'est pas neuve, mais elle occupe désormais le devant de la scène. Les responsables de la sécurité s'accordent d'ailleurs à dire qu'elle permettra d'améliorer la sécurité, en simplifiant les processus de sécurité pour les équipes géographiquement dispersées et les réseaux hybrides.
Le déploiement du modèle s'avère complexe, toutefois, car il présente aux entreprises autant d'améliorations que d'obstacles.
L'adoption généralisée du télétravail (et par conséquent, le besoin d'une meilleure sécurité des télétravailleurs) a encouragé les investissements dans la sécurité Zero Trust. La capacité d'authentifier et de surveiller tout le trafic, quelle que soit sa position à l'intérieur ou à l'extérieur d'un réseau d'entreprise, promet de réduire, voire d'éliminer de nombreux risques de sécurité.
Or, de nombreuses entreprises considèrent que la mise en œuvre d'une approche de sécurité Zero Trust est une affaire compliquée. L'une des principales raisons à ce constat tient au fait que l'adoption du Zero Trust constitue un défi à la fois technique et logistique. La modernisation de la sécurité dépend souvent des progrès accomplis en matière de consolidation de l'identité des utilisateurs et de migration vers le cloud, deux projets pour le moins longs et complexes.
Alors, quel est l'état actuel de l'adoption de la sécurité Zero Trust ? Quels sont, par ailleurs, les défis auxquels les organisations ont été confrontées durant ce processus ?
Pour répondre à ces questions, Forrester Consulting a réalisé pendant la pandémie de 2020 une étude pour le compte de Cloudflare. Cette dernière concernait plus de 300 responsables de la sécurité du monde entier, interrogés sur les succès et les défis rencontrés par leurs entreprises suite à ces changements. Elle examinait les aspects suivants :
Les principales tendances opérationnelles et technologiques qui favorisent l'adoption du Zero Trust
Les scénarios d'utilisation prévisionnels les plus courants de la sécurité Zero Trust
Les obstacles actuels à l'adoption de la sécurité Zero Trust
Les principales tendances externes impactant les systèmes informatiques des entreprises : télétravail, violations de données et VPN
Le virage radical en faveur du télétravail a introduit des changements auxquels aucune entreprise n'était préparée. 52 % des responsables de la sécurité interrogés ont identifié le télétravail comme l'un des principaux facteurs affectant leurs programmes de sécurité informatique.
Dans le contexte de la pandémie, l'enquête a également mis en évidence une augmentation du nombre d'incidents de sécurité liés aux réseaux d'entreprise et aux données confidentielles. 55 % des responsables de la sécurité ont déclaré que leur organisation avait constaté une augmentation des attaques de phishing cette année. Par ailleurs, 58 % des responsables de la sécurité ont déclaré que leur organisation avait subi une violation de données, sous une forme ou une autre.
Le simple fait de rester connecté a également constitué un défi. De nombreuses équipes de sécurité ont constaté que leurs plates-formes VPN obsolètes ne parvenaient pas à gérer l'ensemble du trafic des télétravailleurs, et 46 % d'entre elles ont signalé des problèmes de latence résultant d'une utilisation accrue des VPN.
Une infrastructure de sécurité Zero Trust est une réponse naturelle à ces risques croissants, car elle permet d'atteindre les objectifs suivants :
Elle bloque les attaques de phishing en imposant des mesures supplémentaires de vérification de l'identité en amont de chaque application.
Elle empêche les auteurs d'attaques qui parviennent à accéder à une application ou un service d'avoir « carte blanche » pour accéder à l'ensemble du réseau interne.
Elle supprime la nécessité d'utiliser un VPN, car la vérification de l'identité est nécessaire pour accéder aux applications individuelles.
Scénarios d'utilisation du Zero Trust : les entreprises en attendent de nombreux avantages
La sécurité Zero Trust offre des avantages qui vont au-delà de la sécurité des réseaux. Elle simplifie les procédures d'accès et permet aux employés de travailler depuis des sites et des appareils plus variés, ce qui améliore à la fois productivité et l'expérience des employés.
Les conclusions de notre enquête reflètent cette diversité. Lorsque nous avons interrogé les responsables de la sécurité sur leurs priorités en matière de Zero Trust, un scénario d'utilisation de grande ampleur est ressorti : 87 % des personnes interrogées ont ainsi mentionné l'amélioration de la visibilité sur les workloads cloud. Les raisons à l'origine de cette réponse sont évidentes : la possibilité de mieux comprendre la manière dont les collaborateurs utilisent le cloud aide l'entreprise à optimiser les investissements réalisés dans cette direction, en plus de faciliter la surveillance et la sécurisation des données, peu importe l'endroit où elles se trouvent.
Les trois scénarios d'utilisation très courants de la sécurité Zero Trust ci-dessous présentaient également la même diversité :
Garantir un accès sûr et rapide pour les développeurs (un choix important pour 83 % des personnes interrogées). En plus d'offrir une sécurité renforcée, ce scénario d'utilisation aide également les développeurs à accéder aux outils et aux environnements de manière plus fiable, avec des gains considérables en matière de productivité.
Démarrer ou étendre un programme BYOD (« Bring Your Own Device ») (sélectionné par 81 % des participants). Ce scénario d'utilisation permet également de réduire les coûts et peut éviter aux équipes informatiques de devoir gérer et mettre à jour les équipements de l'entreprise.
Remplacer les VPN surchargés (choisi par 71 % des personnes interrogées). Le modèle Zero Trust est plus sûr que les VPN, mais permet également aux employés d'accéder aux applications de manière plus fiable, tout en évitant aux équipes informatiques de devoir assurer le suivi des clients VPN.
Progrès et principaux obstacles à l'adoption d'un modèle Zero Trust
Ces pressions extérieures et ces scénarios d'utilisation ont suscité un vif intérêt pour la sécurité Zero Trust. L'enquête révèle que 80 % des responsables de la sécurité affirment que leur entreprise s'est engagée à adopter le Zero Trust. De même, la moitié des entreprises ont récemment élevé leur responsable de la sécurité des systèmes d'information au rang de membre du conseil de direction du fait de l'importance accordée au Zero Trust et à la réduction des risques envers la cybersécurité.
Cet intérêt n'a toutefois pas encore débouché sur une adoption concrète. 39 % seulement des entreprises interrogées ont déclaré avoir mené à terme un programme Zero Trust pilote cette année.
Quelles sont les raisons de ce retard généralisé ?
L'une des raisons tient probablement aux difficultés que comporte une migration généralisée vers le cloud. 80 % des entreprises ont ainsi accéléré leurs plans d'adoption du cloud en 2020, mais continuaient à manquer de préparation. Si de grands volumes de données n'ont pas encore été transférés de datacenters isolés vers le cloud, leur sécurisation à l'aide d'un outil de sécurité unique peut néanmoins devenir plus difficile.
Un autre obstacle s'est avéré tout aussi difficile à surmonter lors de l'adoption de la sécurité Zero Trust : la complexité de la gestion des identités et des accès (IAM, Identity and Access Management). 76 % des responsables de la sécurité interrogés ont déclaré avoir des difficultés à adopter une approche Zero Trust en raison de la complexité des besoins d'accès des utilisateurs au sein de leur entreprise. Le Zero Trust recourt à une source fiable unique pour la gestion des identités. Toutefois, les entreprises (et les grandes entreprises en particulier) ont souvent accumulé plusieurs fournisseurs d'identité qui se sont révélés incompatibles au fil des ans. Elles doivent également analyser les modèles d'accès à de nombreuses applications, dont la plupart ne peuvent être arrêtées (même brièvement) dans le cadre d'une migration vers une nouvelle plateforme de gestion des identités.
Que peuvent faire les responsables de la sécurité pour surmonter ces défis ? Voici, brièvement, trois approches qu'ils peuvent envisager d'adopter :
Opter pour une plateforme Zero Trust dotée de fonctionnalités d'accès en libre-service. À l'image de la transformation cloud, la gestion des schémas d'accès des utilisateurs ne sera jamais simple. Pour s'accorder le temps nécessaire à ce travail important, les responsables de la sécurité doivent chercher des outils Zero Trust capables d'accomplir d'autres actions de gestion des accès (p. ex. l'intégration d'applications ou la création de rôles et d'autorisations basées sur les rôles) de manière aussi facile et autonome que possible.
Réduire progressivement la dépendance aux VPN, en commençant par les applications pour développeurs. Les responsables de la sécurité s'accordent à dire que les VPN sont surchargés et inefficaces dans un environnement de télétravail. Les plateformes d'accès réseau Zero Trust éliminent la latence résultant du routage du trafic lié à l'utilisation d'un VPN au profit d'une protection basée sur l'identité pour chaque application. Les applications destinées aux développeurs (comme Jira, Jenkins et Grafana) constituent une excellente base commune pour ce processus.
Envisager l'utilisation de plateformes intégrées capables d'évoluer avec vous tout au long de votre parcours d'adoption. L'utilisation de plusieurs solutions ponctuelles s'avère plus difficile à gérer dans le cadre de la mise en œuvre du Zero Trust. Cette approche comporte en outre davantage de risques, car chaque solution constitue un point de défaillance supplémentaire.
Explorez ces conclusions de manière plus approfondie
Ces conclusions ont été compilées par Forrester au sein d'une étude mandatée par Cloudflare. Les résultats reposent sur une étude réalisée auprès de 317 responsables de la sécurité à travers le monde, représentant plus de 20 secteurs. Les personnes interrogées sont issues d'entreprises de différentes tailles : 32 % d'entre elles officient ainsi au sein d'entreprises de plus de 5 000 employés et 17 % au sein d'entreprises de 500 employés ou moins.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Points clés
Cet article vous permettra de comprendre les points suivants :
Les tendances affectant l'informatique d'entreprise
Les résultats d'une étude réalisée auprès de plus de 300 responsables de la sécurité autour du monde
Le scénario d'utilisation le plus populaire en matière de Zero Trust
Comment surmonter les obstacles principaux à l'adoption du Zero Trust
Ressources associées
Approfondir le sujet
Découvrez les conclusions complètes plus en détail dans le rapport intitulé (Les dirigeants se sont désormais engagés à adopter l'approche Zero Trust).