Le Zero Trust, du concept à la réalité. A condition, toutefois, que les professionnels de la cybersécurité soient capables de mettre ce modèle en pratique…

Si l’on en croit le dernier rapport publié par Cybersecurity Insiders et Pulse Secure, 72 % des organisations prévoient d’implémenter un système Zero Trust au cours de cette année. Objectif : réduire leur exposition aux cyber-risques. Mais entre l’ambition et la réalité, il y a une marge. En effet, il existe encore de gros écarts dans la capacité des professionnels de la cybersécurité à mettre ce modèle en pratique. Pour preuve, 47 % des professionnels de la cybersécurité interrogés doutent de leur capacité à appliquer un modèle Zero Trust pour sécuriser leur architecture d’accès. 

«Le Zero Trust offre une expérience optimale en termes d’ergonomie, de protection des données et de gouvernance, souligne Scott Gordon, Marketing Director, Pulse Secure. En attendant, une certaine confusion règne encore chez les professionnels de la cybersécurité. Pour la plupart, le périmètre et la méthode de mise en œuvre des contrôles Zero Trust dans leurs environnements hybrides ne sont pas clairs…»

Pour les entreprises envisageant de déployer le Zero Trust cette année, le modèle repose sur trois grands piliers : la protection des données, la vérification des entités et la procédure continuelle d’authentification avant autorisation. Toujours selon le rapport, 30 % des organisations souhaitent simplifier la sécurisation de leurs accès, notamment en termes d’expérience utilisateur, d’administration et de provisionnement. 

Équipements mobiles vulnérables, BYOD et IoT : les principaux enjeux pour la sécurité

Appareils mobiles à risque, accès partenaire non sécurisés, cyberattaques, privilèges d’accès trop permissifs, Shadow IT… Pour 40 % des sondés, ces facteurs sont considérés comme les principales menaces à un accès sécurisé aux applications et ressources.

«La transformation digitale s’accompagne d’une augmentation des attaques par malware, des compromissions d’objets connectés et des violations de données, poursuit Scott Gordon. Ceci est dû à la plus grande vulnérabilité des utilisateurs mobiles et des objets connectés dont la maintenance laisse à désirer. C’est pourquoi il est essentiel d’orchestrer la visibilité, l’authentification et les contrôles de sécurité des terminaux pour parvenir à un modèle Zero Trust efficace.»

Dans un contexte où 45 % des sondés se disent préoccupés par la sécurité des accès aux applications cloud publiques et où 43 % éprouvent des difficultés à mettre en œuvre le BYOD, plus de 70 % des entreprises interrogées aspirent à améliorer leurs systèmes de gestion des identités et accès (IAM).

«Un accès sécurisé passe obligatoirement par un provisionnement utilisateur adapté et actualisé, mais exige aussi une authentification des entités et des contrôles de conformité pour autoriser un accès sous condition dans tout type de scénario : utilisateurs du siège ou à distance, équipements personnels ou fournis par l’entreprise, et applications internes ou cloud», note le responsable marketing. 

L’informatique hybride, moteur de la demande du modèle Zero Trust 

Avec des effectifs de plus en plus mobiles et des modèles IT hybrides en plein essor, la plupart des workloads s’exécute hors des réseaux des entreprises et de leur périmètre de défense traditionnel. D’où des préoccupations majeures en matière d’accès utilisateurs et de données. Près d’un tiers des professionnels de la cybersécurité voient dans le Zero Trust un moyen de résoudre les problèmes de sécurité des environnements hybrides. 

«À l’heure où elles migrent leurs applications et ressources on-premise vers des environnements cloud publics ou privés, les organisations se doivent de réévaluer la sécurité de leurs accès et la confidentialité de leurs données, continue Scott Gordon. L’adoption d’un modèle Zero Trust adapté à ces environnements hybrides permet d’une part de réaliser les économies inhérentes à un modèle Utility Computing, et d’autre part d’implémenter un système Zero Trust Network Access (ZTNA) transparent quand elles le souhaitent, où elles le souhaitent et comme elles le souhaitent.»

Accès sécurisés : les entreprises réévaluent leur infrastructure existante

Le rapport indique par ailleurs qu’un quart des organisations cherchent à renforcer leur infrastructure d’accès actuelle à l’aide de la technologie Software Defined Perimeter (SDP), également appelée Zero Trust Network Access (ZTNA). 

«Pour implémenter le ZTNA, les entreprises et fournisseurs de services devraient opter pour une solution fonctionnant en parallèle d’un VPN basé sur le périmètre. Ils obtiendront ainsi toute la flexibilité opérationnelle nécessaire pour gérer leurs data centers et environnements multicloud», précise le responsable.

Parmi les entreprises tentées par le SDP, la majorité (53 %) pencherait pour un déploiement IT hybride, tandis qu’un quart (25 %) opterait pour une implémentation SaaS (Software-as-a-Service).