"Nous vivons désormais dans un monde de Zero Trust", déclare Stephen McDermid, CSO EMEA pour Okta. “Les chiffres mondiaux suggèrent que dans les 18 prochains mois, neuf entreprises sur dix seront "ZT". Et les entreprises investissent massivement dans leur cybersécurité au service de Zero Trust. Malgré une réduction généralisée des coûts, 60 % des organisations ont constaté une augmentation de 24 % de leur budget ZT depuis l’année dernière."

En 2021, moins d’une entreprise interrogée sur quatre avait mis en place une stratégie Zero Trust. En 2023, ce chiffre est passé à 61 %. En outre, 28 % d’entre elles prévoient de mettre en œuvre une stratégie Zero Trust dans les 18 mois.

Le rapport suggère que les dirigeants reconnaissent l’importance primordiale de l’approche Zero Trust pour permettre le développement des entreprises dans le monde numérique d’aujourd’hui. L’étude montre ainsi que 93 % des cadres dirigeants considèrent désormais que l’identité est importante pour leur stratégie d’entreprise.

La stratégie en pratique : les technologies sans mot de passe sont-elles sur le point d’exploser ?
Le rapport révèle que, malgré le fait que l’on sache que les mots de passe offrent une faible valeur en matière de sécurité, ces derniers restent la norme en matière d’authentification et sont utilisés dans plus de la moitié (55 %) des entreprises, toutes régions confondues.

Les questions de sécurité sont la deuxième pratique la plus utilisée, avec seulement 19 % (moins d’une entreprise sur cinq) des entreprises qui utilisent des systèmes plus robustes d’authentification, tels que ceux basés sur des plateformes dédiées ou sur la biométrie.

"Dans un monde où les entreprises ne doivent jamais faire confiance et toujours tout vérifier, la méthode de vérification est cruciale", poursuit M. McDermid. "La vérité gênante qui se cache derrière les récentes attaques est que la vérification basée sur des mots de passe et des questions simples n’est pas suffisante. L’ingénierie sociale a considérablement évolué et, par conséquent, la première ligne de vérification de l’identité doit également évoluer. Dans la pratique, cela se traduira par des technologies sans mot de passe.”

Le facteur humain : la sécurité l’emporte sur la facilité d’utilisation - pour l’instant
Pour mieux comprendre les raisons de cette nécessité de lutter contre l’ingénierie sociale, les personnes interrogées dans le cadre de cette étude ont cité "les personnes" comme la plus grande préoccupation des entreprises en matière de sécurité, le "réseau" et les "données" arrivant en deuxième et troisième position. Si l’utilisateur a toujours été considéré comme une priorité absolue, il s’agit cette année d’une exception inhabituelle, qui reflète une meilleure compréhension de la fonction critique de l’identité dans les initiatives de sécurité de type Zero Trust.

Face à cette perception que l’utilisateur reste le maillon faible, plus de 2 entreprises sur 3 déclarent que la sécurité est la priorité absolue et incontestée, ou que la répartition de leurs priorités est à trois quarts sur la sécurité, et un quart pour la facilité d’utilisation.

Toutefois, l’étude révèle également que des failles subsistent. Seul 1 répondant sur 5 (20 %) a automatisé le provisioning (la gestion du cycle de vie des accès) pour les utilisateurs externes tels que les partenaires et les sous-traitants. Cela suggère que les entreprises restent particulièrement vulnérables aux attaques provenant de la chaîne d’approvisionnement.

M. McDermid ajoute : "Les entreprises savent depuis longtemps que leur personnel représente la plus grande menace pour la sécurité, que ce soit par malveillance ou par simple inadvertance, mais ces chiffres suggèrent que les entreprises ont peut-être été trop restrictives dans leur définition de ‘collaborateurs’. Les fournisseurs et les partenaires sont - du point de vue de la sécurité - tout aussi risqués qu’un employé. Cependant, il semble qu’il y ait un retard dans la prise en compte de ce problème".

La réglementation, moteur de l’adoption du Zero Trust
Au sein de ce marché mondial incroyablement actif, il existe des pionniers incontestables en matière d’adoption de l’approche Zero Trust. Les entreprises du secteur financier et du développement de logiciels sont les plus susceptibles d’avoir mis en place une telle initiative à ce jour (respectivement 71 % et 68 %).
58 % des organisations du secteur public disposent également d’une stratégie Zero Trust, et près d’un autre tiers prévoit d’en mettre une en œuvre au cours des 12 prochains mois.

"Il est facile de voir l’impact de la réglementation sur ces chiffres", conclut M. McDermid. "Certaines industries seront confrontées à des exigences plus strictes qui rendent le Zero Trust nécessaire et stimulent le marché à court terme. Nous nous félicitons de ce catalyseur d’innovation et nous sommes impatients de voir ce que les premiers utilisateurs peuvent montrer à l’ensemble de l’industrie.”

"Au cours des deux dernières années, le nombre d’entreprises déclarant que l’identité est un élément essentiel de leur stratégie Zero Trust a considérablement augmenté. Maintenant que le Zero Trust est sur le point de définir la manière de faire les choses, il apparaît donc que la bonne gestion des identités sera un facteur majeur pour améliorer les activités des entreprises, en les rendant plus faciles et plus rapides".

Méthodologie
En partenariat avec Qualtrics, Okta a mené en avril 2023 une étude mondiale incluant 860 décideurs en sécurité informatique d’Amérique du Nord (États-Unis, Canada) ; de la région EMEA (Danemark, Finlande, France, Allemagne, Irlande, Pays-Bas, Norvège, Suède, Royaume-Uni) ; et de la région APJ (Japon, Australie).