Qu'est-ce que Zero Trust ? Passé, présent et futur de la sécurité

L'évolution de Zero Trust au cours des dernières années

Quelle différence font quatre ans.

Depuis qu'Okta a lancé son premier rapport State of Zero Trust en 2019, il a été dit que le cadre représente l'avenir de la sécurité. Cette année, l'adoption de Zero Trust a atteint un point de basculement.

En 2019, de nombreuses organisations interrogées ont reconnu que Zero Trust était important, mais seulement 16 % avaient investi dans des initiatives Zero Trust. En 2022, les organisations sont prêtes à passer à l'action ; 97 % des personnes interrogées ont une initiative Zero Trust définie en cours ou prévoient d'en avoir une dans les prochains mois.

Dans le quatrième rapport annuel d'Okta sur l'état de Zero Trust, élaboré à partir d'enquêtes auprès de 700 responsables de la sécurité, il révèle un paysage qui a radicalement changé, où il n'existe pas de solution de sécurité unique pour tous. À mesure que différentes organisations, industries et régions adoptent différentes stratégies et priorités de Zero Trust, certaines tendances fascinantes ont émergé.

Les initiatives Zero Trust ont progressé de manière étonnante en un an

Au cours de la dernière année, l'évolution des programmes Zero Trust a été remarquable. En fait, le pourcentage d'entreprises ayant une initiative Zero Trust définie en cours a plus que doublé :

• En 2021, seulement 24 % des personnes interrogées avaient une initiative Zero Trust en cours, et 65 % avaient des plans pour en mettre une en œuvre dans les 12 à 18 mois suivants.
• En 2022, 55 % des personnes interrogées ont une initiative Zero Trust, et 42 % affirment qu'ils en mettront une en œuvre dans un avenir proche.

Plus que jamais, la sécurité et la facilité d'utilisation s'incluent mutuellement

En 2020, les organisations du monde entier ont dû soutenir de manière abrupte des forces de travail distribuées et dynamiques, il est donc compréhensible que les considérations autour de l'accessibilité et de la facilité d'utilisation aient souvent prévalu sur les préoccupations de sécurité.

Après avoir mis en place des systèmes permettant aux équipes de travailler de n'importe où, de nombreuses organisations ont accumulé des dettes de sécurité et apprennent maintenant où résident leurs vulnérabilités. Mais elles se sont également rendu compte que la sécurité ne doit pas nécessairement se faire au détriment de la facilité d'utilisation, comme le démontre l'adoption de plus en plus généralisée de l'authentification sans mot de passe :

• L'accès sans mot de passe est une priorité mondiale pour les 12 à 18 prochains mois.
• 24 % des répondants du secteur des services financiers prévoient de l'adopter prochainement ou l'ont déjà fait.

Près d'un cinquième des répondants du secteur de la santé (17 %) et des logiciels (18 %) s'attendent à faire de même.

Le verdict est favorable : l'identité est vitale pour une stratégie Zero Trust

Le principe central du modèle de sécurité Zero Trust est "ne jamais faire confiance, toujours vérifier", et bien qu'il puisse y avoir une série de méthodes pour le faire, aucune n'est aussi fiable que la gestion des identités et des accès.

• 80 % des personnes interrogées considèrent que l'identité est importante pour leurs stratégies Zero Trust.
• 19 % ont fait un pas de plus en déclarant que l'identité est critique pour l'entreprise.

Au total, 99 % des organisations interrogées indiquent que l'identité est un facteur clé pour Zero Trust. Les chiffres sont similaires lorsqu'on parle avec les dirigeants de haut niveau, tels que les CISO et autres cadres de la C-suite, avec 98 % qui reconnaissent le rôle intégral de l'identité dans une approche solide de Zero Trust.

“Nous devenons une équipe de sécurité axée sur l'identité, ce qui représente un véritable changement de culture, car nous parlons d'une équipe qui a été construite pour un réseau plat, sur site.” — John McLeod, CISO, NOV

L'identité est essentielle pour la santé et les services financiers

Le modèle Zero Trust gagne rapidement du terrain dans le secteur de la santé, alors que les derniers réticents s'engagent dans de nouvelles initiatives pour l'avenir. En 2021, 37 % des organisations avaient commencé à mettre en œuvre des initiatives Zero Trust, mais ce chiffre est passé à 58 % en 2022. Il est également intéressant de noter que 96 % ont au moins une initiative planifiée pour les 12 à 18 prochains mois, et pour la grande majorité, ces initiatives impliqueront l'identité.

• 99 % des organisations de santé considèrent que l'identité est fondamentale pour leurs stratégies Zero Trust.
• 72 % des personnes interrogées la décrivent comme importante, tandis que 27 % disent qu'elle est critique pour l'entreprise.

L'adoption de solutions d'identité a également stimulé la transformation dans le secteur des services financiers, et de nombreuses organisations se sont d'abord concentrées sur leurs systèmes internes et leur personnel :

• Près de 75 % des entreprises de services financiers prévoient d'étendre la connexion unique (SSO) et le MFA aux serveurs, bases de données et API dans un délai de 18 mois.
• Pour près de 80 % des personnes interrogées, le SSO a déjà été étendu aux employés, mais actuellement, seulement 37 % ont étendu le MFA aux utilisateurs externes à leurs organisations.

EMEA et APAC donnent la priorité à l'automatisation et à la gestion des accès

La rapidité avec laquelle les régions adoptent de nouvelles initiatives de sécurité peut éclairer leurs priorités en matière de Zero Trust. Par exemple, les répondants d'EMEA et d'APAC renforcent leur engagement envers la gestion des accès privilégiés pour les infrastructures cloud :

• Les taux d'adoption dans la région EMEA devraient atteindre 97% au cours des 18 prochains mois.
• Pour APAC, les taux d'adoption devraient doubler au cours des 18 prochains mois, passant de 44% en 2021 à 88% en 2022.
• En comparaison, les taux d'adoption en Amérique du Nord devraient également doubler, mais atteindre un maximum de 70%.

Les organisations de toute la région APAC investissent également massivement dans l'automatisation des processus de provisionnement et de déprovisionnement des employés, et les taux d'adoption devraient passer de 22% en 2021 à 76% en 2022. Les taux d'adoption en EMEA ne sont pas en reste, avec 74% des organisations indiquant qu'elles mettront en œuvre cette pratique de sécurité au cours des 18 prochains mois.

Conclusion

Ces tendances illustrent en gros comment l'adoption de Zero Trust transforme les secteurs et la sécurité dans le monde entier (vous pouvez lire ici le rapport complet) en réponse à la complexité croissante des environnements technologiques et à la nécessité de protéger les informations sensibles.

Sans aucun doute, des facteurs tels que l'adoption massive du cloud et la mobilité ont fait évoluer le réseau traditionnel vers un environnement beaucoup plus distribué et moins prévisible, ce qui entraîne un besoin accru de sécurité.