Les auteurs du 2020 Zero Trust Progress Report ont interrogé plus de 400 décideurs en cybersécurité pour dresser un état des lieux des pratiques Zero Trust dans les entreprises : déterminants, modes d’adoption, technologies, investissements et avantages. Selon leurs conclusions, 2020 sera l’année où le Zero Trust passera du concept à la réalité. Pourtant, il existe encore de gros écarts dans la capacité des professionnels de la cybersécurité à mettre ce modèle en pratique.

« L’ampleur des cyberattaques et des violations de données recensées en 2019 a fait vaciller le modèle actuel de protection des accès, y compris dans les entreprises dotées de moyens financiers importants, » rapporte Scott Gordon, Directeur marketing chez Pulse Secure. « Le Zero Trust offre une expérience nettement supérieure en termes d’ergonomie, de protection des données et de gouvernance. Or, une certaine confusion règne encore chez les professionnels de la cybersécurité quant au périmètre et à la méthode de mise en œuvre des contrôles Zero Trust dans leurs environnements hybrides. Les résultats de notre enquête sont d’ailleurs là pour en attester. »

Pour les entreprises envisageant de déployer le Zero Trust en 2020, le modèle repose sur trois grands piliers : protection des données, vérification des entités et procédure continuelle d’authentification avant autorisation. Toujours selon le rapport, près d’un tiers des organisations (30 %) souhaitent simplifier la sécurisation de leurs accès, notamment en termes d’expérience utilisateur, d’administration et de provisionnement. D’autre part, 53 % des entreprises participantes prévoient d’appliquer le Zero Trust à un environnement IT hybride.

Équipements mobiles vulnérables, BYOD et IoT : les principaux enjeux pour la sécurité

Appareils mobiles à risque, accès partenaire non sécurisés, cyberattaques, privilèges d’accès trop permissifs, Shadow IT... pour 40 % des sondés, ces facteurs sont considérés comme les principales menaces à un accès sécurisé aux applications et ressources.

« La transformation digitale s’accompagne d’une augmentation des attaques par malware, des compromissions d’objets connectés et des violations de données. Ceci est dû à la plus grande vulnérabilité des utilisateurs mobiles et des objets connectés dont la maintenance laisse à désirer. C’est pourquoi il est essentiel d’orchestrer la visibilité, l’authentification et les contrôles de sécurité des terminaux pour parvenir à un modèle Zero Trust efficace, » ajoute Scott Gordon.

Dans un contexte où 45 % des sondés se disent préoccupés par la sécurité des accès aux applications cloud publiques et où 43 % éprouvent des difficultés à mettre en œuvre le BYOD, plus de 70 % des entreprises interrogées aspirent à améliorer leurs systèmes de gestion des identités et accès (IAM).

« Un accès sécurisé passe obligatoirement par un provisionnement utilisateur adapté et actualisé, mais exige aussi une authentification des entités et des contrôles de conformité pour autoriser un accès sous condition dans tout type de scénario : utilisateurs du siège ou à distance, équipements personnels ou fournis par l’entreprise, et applications internes ou cloud, » explique le Directeur marketing.

L’informatique hybride, moteur de la demande du modèle Zero Trust

Avec des effectifs de plus en plus mobiles et des modèles IT hybrides en plein essor, la plupart des workloads s’exécutent hors des réseaux des entreprises et de leur périmètre de défense traditionnel. D’où des préoccupations majeures en matière d’accès utilisateurs et de données.

D’après le 2020 Zero Trust Progress Report, près d’un tiers des professionnels de la cybersécurité voient dans le Zero Trust un moyen de résoudre les problèmes de sécurité des environnements hybrides.

« À l’heure où elles migrent leurs applications et ressources on-premise vers des environnements cloud publics ou privés, les organisations se doivent de réévaluer la sécurité de leurs accès et la confidentialité de leurs données. L’adoption d’un modèle Zero Trust adapté à ces environnements hybrides permet d’une part de réaliser les économies inhérentes à un modèle Utility Computing, et d’autre part d’implémenter un système Zero Trust Network Access (ZTNA) transparent quand elles le souhaitent, où elles le souhaitent et comme elles le souhaitent, » poursuit Scott Gordon.

Accès sécurisés : les entreprises réévaluent leur infrastructure existante

Le rapport indique qu’un quart des organisations cherchent à renforcer leur infrastructure d’accès actuelle à l’aide de la technologie Software Defined Perimeter (SDP), également appelée Zero Trust Network Access (ZTNA).

Selon le Directeur marketing, « pour implémenter le ZTNA, les entreprises et fournisseurs de services devraient opter pour une solution fonctionnant en parallèle d’un VPN basé sur le périmètre. Ils obtiendront ainsi toute la flexibilité opérationnelle nécessaire pour gérer leurs data centers et environnements multicloud ».

Parmi les entreprises tentées par le SDP, la majorité (53 %) pencherait pour un déploiement IT hybride, tandis qu’un quart (25 %) opterait pour une implémentation SaaS (Software-as-a-Service).

« Certaines structures hésitent à adopter le Zero Trust en SaaS car elles craignent que certaines applications existantes freinent, voire empêchent tout déploiement cloud. Quant à celles soumises à des exigences de protection plus strictes des données, elles pourront être réticentes à l’idée de transférer leurs contrôles et leurs données sensibles hors site. Il se peut aussi qu’elles aient investi dans une infrastructure de data center qui correspond à leurs besoins, » remarque Holger Schulze, Fondateur et PDG de Cybersecurity Insiders.