La combinaison d’une surface d’attaque accrue par le télétravail à long terme et d’une cybercriminalité en constante évolution incite de nombreuses entreprises à faire d’une approche Zero Trust la pierre angulaire de leur stratégie de sécurité informatique. Une enquête mandatée par SailPoint et menée par Dimensional Research auprès de 315 experts en sécurité du monde entier a révélé de nouvelles informations sur la manière et l’étendue de l’engagement des entreprises dans le domaine du Zero Trust et de la sécurité de l’identité.

45% des entreprises ont déjà mis en œuvre le Zero Trust

La bonne nouvelle pour commencer : les entreprises ont reconnu la nécessité de se protéger contre les dangers croissants d’un environnement IT hétérogène et de plus en plus dispersé en mettant en place une stratégie Zero Trust. Les employés ont besoin d’un accès fiable et sécurisé à leurs fichiers de travail, y compris dans leur bureau à domicile et, en cas d’urgence, à partir de terminaux privés. Dans une situation aussi confuse, il est plus important que jamais de garder une vue d’ensemble des demandes d’accès. La question de savoir qui veut accéder à quelles données, quand et où est centrale si l’on ne veut pas risquer des failles dans sa défense informatique. 45 % des personnes interrogées ont indiqué qu’elles avaient déjà mis en œuvre le Zero Trust dans leur entreprise. 47% d’entre elles (la grande majorité des retardataires) prévoient de le faire dans un avenir proche. La raison la plus souvent citée pour le Zero Trust (75 %) est la situation de plus en plus difficile en matière de sécurité informatique, suivie de près par la circonstance aggravante de la dispersion des employés dans l’entreprise (68 %). L’utilisation croissante du cloud et l’introduction de nouvelles identités numériques, telles que les appareils IoT ou les algorithmes/bots, occupent une troisième place partagée avec 56% chacun. Les acteurs non humains de plus en plus diversifiés posent notamment de grandes difficultés à de nombreuses entreprises et sont considérés comme l’un des principaux points faibles de la stratégie de défense informatique de l’entreprise.

Seules 25 % des entreprises ont une vue d’ensemble des accès aux bots

À la question "De quels utilisateurs votre entreprise peut-elle gérer les droits d’accès ?", il a été constaté que les bots ne peuvent être suffisamment surveillés que dans 25 % des entreprises interrogées. Dans de nombreuses entreprises, ces assistants automatiques opèrent de manière pratiquement invisible. Trois quarts des entreprises ne peuvent donc pas exclure avec certitude que l’infatigable assistant n’est pas en réalité un programme malveillant qui se sert justement d’informations critiques du réseau de l’entreprise. Il s’agit là d’une situation préoccupante, car à l’avenir ces identités automatisées seront de plus en plus nombreuses sur les réseaux des entreprises. Pas moins de 84% des experts interrogés ont indiqué qu’ils pouvaient garder une bonne vue d’ensemble de toutes les demandes d’accès émises par les collaborateurs. En revanche, la gestion des comptes des clients et des partenaires est loin de garantir un contrôle complet des droits d’accès à fournir, avec 47 % pour les clients et 55 % pour les partenaires. Là aussi, il y a encore du chemin à parcourir, car l’échange numérique avec ces groupes d’utilisateurs n’est plus une extravagance aujourd’hui, mais doit être considéré comme une nécessité.

Les terminaux utilisés en dehors du bureau sont considérés comme le principal vecteur d’attaque.

Ce n’est guère surprenant, mais les innombrables nouveaux terminaux qui affluent sur le réseau de l’entreprise en ces temps de confinement et de télétravail sont reconnus comme un risque par la grande majorité des personnes interrogées. Les entreprises ont du mal à maîtriser la situation confuse en dehors des « murs » de leurs « châteaux ». Les mesures de sécurité que chaque employé peut mettre en place chez lui ou sur son lieu de travail éloigné sont trop hétérogènes et difficiles à voir. Pourtant, tous les employés doivent avoir un accès fiable à tous les fichiers de travail pertinents, même depuis leur bureau à domicile. Après tout, aucune entreprise n’a intérêt à ce que ses activités quotidiennes soient perturbées ou même complètement interrompues. Le risque lié aux terminaux IoT arrive en deuxième position avec 55 % des voix. Ceux-ci font désormais partie intégrante de nombreuses entreprises, surtout dans le secteur de la production, et ils doivent pouvoir bénéficier d’un accès permanent au réseau de l’entreprise, tout comme le personnel. Avec 53 % de réponses, le stockage des données est la troisième source de danger la plus importante. Il s’agit notamment des points de partage et des lecteurs réseau contenant des données de l’entreprise. Cela n’est pas surprenant car c’est là que se trouvent généralement les joyaux de chaque entreprise. Des secrets d’entreprise aux données personnelles en passant par les contrats confidentiels, les trésors de données qui s’y trouvent suscitent une grande convoitise chez les cybercriminels. La forme d’attaque la plus répandue, le ransomware, vise précisément ces mémoires de données pour les chiffrer après avoir introduit avec succès le logiciel malveillant.

Zero Trust améliore la sécurité dans 99% des cas

Les experts interrogés n’ont jamais été aussi unanimes sur les chances de succès d’une mise en œuvre de Zero Trust. Ceux qui ont introduit Zero Trust dans leur entreprise ont constaté dans 99% des cas une amélioration très importante (52%) ou au moins sensible (47%) de la sécurité informatique de leur entreprise. Cela montre que le Zero Trust est bien plus qu’un simple mot à la mode. Comme dans la vie réelle, la confiance se gagne. Ce qui peut prendre des années dans l’interaction humaine ne prend guère plus d’une seconde dans la sphère numérique. Si l’approche du scepticisme maximal n’entraîne pas d’effort supplémentaire perceptible pour les utilisateurs concernés et améliore en même temps sensiblement la sécurité informatique, il n’y a plus de raison sérieuse de vouloir renoncer à cette assurance complémentaire.

L’identité est au cœur du Zero Trust : l’accès n’est possible qu’avec une pièce d’identité valable.

Aucun autre facteur n’est aussi important pour le fonctionnement de Zero Trust que l’identité. Pour 97 % d’entre eux, cette question a recueilli la deuxième plus grande approbation parmi les experts. 55% des personnes interrogées sont tout à fait d’accord avec l’affirmation selon laquelle l’identité joue un rôle central dans la mise en œuvre d’initiatives Zero Trust. 42% sont généralement d’accord avec cette affirmation.

L’ANSSI s’en est fait l’écho en mai dernier en ajoutant …« Plusieurs axes d’effort sont envisageables pour intégrer à un SI « traditionnel » les principes du Zero Trust : une gouvernance améliorée de l’identité (l’accès aux ressources est contingenté à l’identification de l’utilisateur et de l’équipement utilisé, du statut de l’actif et de facteurs environnementaux tels que l’heure et la géolocalisation de la demande de connexion).
En tant qu’éléments clés du modèle Zero Trust, le ou les référentiels d’identité doivent être assainis avec une politique stricte de mise à jour lors des arrivées, départs et mobilités. Ils doivent refléter fidèlement la situation courante des utilisateurs ; … »

C’est tout à fait logique, car les demandes d’accès numériques à distance sont tout d’abord anonymes et sans visage. Ce n’est que lorsque l’on peut prouver sans aucun doute son identité que l’on est autorisé à franchir le portail de la sécurité informatique.

Aujourd’hui, la frontière de l’infrastructure informatique ne s’arrête plus au pare-feu sur site d’une entreprise, mais s’étend à l’ensemble du globe. Votre nouveau collègue du département informatique vient peut-être d’Afrique du Sud et continue d’y vivre alors qu’il est désormais en poste en France. Le chef de projet récemment recruté qui est votre voisin de bureau ne veut pas non plus obliger sa famille à déménager. La personne qui travaille habituellement à la comptabilité a déménagé depuis l’année dernière dans sa maison de vacances en Bretagne et ne voit pas la nécessité de retourner au bureau parisien pour son travail quotidien. Ceci pour dire que ce nouveau monde du travail est désormais le nôtre et qu’il ne sera jamais possible de revenir complètement en arrière. Les entreprises et leurs responsables sécurité vont devoir s’adapter aux besoins dans cette nouvelle réalité du travail et en exploiter pleinement les avantages.

Une stratégie de sécurité IT basée sur l’approche Zero Trust est parfaitement adaptée à ce changement de circonstances et permet aux entreprises de se concentrer sur le développement de leur activité en toute sérénité et en toute confiance. Le Zero Trust dans l’infrastructure IT permet d’accorder une confiance maximale à tous ceux qui accompagnent l’entreprise à chaque étape de son succès.