La sécurité Zero Trust repose l’axiome « ne jamais faire confiance, toujours vérifier ». En bref, au-delà de la sécurité périmétrique, aucun dispositif connecté en réseau n’a de statut de confiance par défaut. La dernière étude d’Okta livre quelques enseignements utiles qu’il faut néanmoins pondérer. Au niveau mondial, 62 % des organisations (dont 61 % dans la région EMEA –Europe et Moyen-Orient-) ont déjà mis en place une stratégie Zero Trust, en 2022, contre 24 % en 2021. Plus d’un tiers des organisations (38 % en EMEA) prévoient de mettre en œuvre une stratégie Zero Trust au cours des 18 prochains mois. Mais ce chiffre doit être mis en regard d’un autre indicateur car les entreprises envisageant un projet Zero Trust dans les 12 à 18 prochains mois se réduit comme peau de chagrin d’année en année comme l’indique le graphique ci-dessous.
Loin de l’enthousiasme des éditeurs de solutions Zero Trust, l’ANSSI prévient : « le recours à ces solutions est ardu, faute de maturité : le déploiement est susceptible d'entraîner des erreurs d'installation ou de configuration, d'accroître la vulnérabilité des systèmes d'information et de donner aux entreprises un faux sentiment de sécurité ».
En tête des secteurs d’activité concernés par le Zero Trust figure le secteur financier avec 71 % des organisations qui ont déjà défini une approche dans ce domaine. Suivent de près les éditeurs de logiciels (68 % des répondants) puis les organismes publics et de santé avec respectivement 58 % et 47 %.
La gestion de l’identité au cœur du Zero Trust
D’après l’étude d’Okta, plus de la moitié des organisations (51 %) estimaient en 2022 que la gestion des identités est au centre d’une stratégie Zero Trust contre 27 % en 2021. Une hausse et une prise de conscience notables par conséquent.En principe, la mise en place du Zero Trust devrait exploiter toutes les ressources du cloud. Sur le podium des mesures de contrôle de l’identité se trouve la MFA (authentification multifacteur) pour les utilisateurs externes (34 %) suivie de la MFA pour les collaborateurs (33 %), les accès sécurisé pour les API (31 %) devant le SSO et les accès résistants au phishing WebAuthn, FIDO2, clés d’accès, déprovisioning automatisés, politiques d’accès contextuelles et autres mesures.
Selon les prévisions d’Okta, le MFA va continuer de se généraliser tandis que des réglementations de plus en plus strictes contraindront certains secteurs comme les services financiers et le secteur public à adopter l’authentification sans mot de passe et d’autres facteurs d’authentification résistants au phishing.
La conception, la planification et l’implémentation d’une stratégie de sécurité Zero Trust fait face à de nombreux défis qui nécessitent de véritables échanges entre de nombreuses parties prenantes. Il s’agit principalement de la conformité aux réglementations sur la confidentialité, la prise en compte du legacy (informatique héritée) et de la dette technique, le budget ou encore la pénurie de profils seniors spécialisés.
