Programme Zero Trust conquiert rapidement le terrain

Zero Trust se manifeste dans le monde des entreprises et gagne de plus en plus en importance : nouvelles connaissances d’Okta sur les mesures préférées dans divers secteurs.

L’essentiel

• Zero Trust en hausse : Les entreprises du monde entier mettent en œuvre des stratégies Zero Trust comme nouveau standard de sécurité.
• MFA comme base : L’authentification multi-facteurs est la mesure Zero Trust la plus fréquemment mise en œuvre.
• Transversalité des secteurs : Des prestataires de services financiers à l’industrie manufacturière, tous misent sur Zero Trust.
• Étude Okta : Données sur les taux d’adoption et les mesures préférées par secteur.
• Principe : « Ne faites confiance à personne, vérifiez tout » – accès uniquement après vérification continue.

Dans la course contre des cyberattaques de plus en plus sophistiquées, les entreprises du monde entier mettent de plus en plus l’accent sur la mise en œuvre d’initiatives Zero Trust. C’est le résultat central du rapport « State of Zero Trust Security 2023 » de l’éditeur d’identité Okta, basé sur des entretiens avec 860 responsables de la sécurité et décideurs de premier plan.

Concrètement, 61 % des personnes interrogées indiquent avoir déjà mis en œuvre une stratégie Zero Trust. 28 % supplémentaires prévoient de le faire dans les 6 à 12 prochains mois. Autrement dit, six entreprises sur dix sont actuellement en train de mettre en œuvre une stratégie Zero Trust plus complète, contre 24 % l’année précédente.

La gestion des identités gagne en importance

Sans surprise : 51 % de tous les décideurs interrogés considèrent la gestion des identités comme « très importante » pour leur stratégie d’entreprise. En comparaison, cette proportion était d’environ 27 % l’année dernière. De plus, la moitié de ces décideurs s’accordent à dire que la responsabilité de Zero Trust et de la gestion des identités devrait incomber aux équipes de sécurité. Cette évolution est probablement due au fait que les attaques basées sur l’identité, comme le phishing, restent parmi les menaces les plus répandues. Les équipes de sécurité disposent de compétences plus spécifiques dans ce domaine par rapport à l’informatique.

Il n’est donc pas surprenant que des budgets correspondants soient alloués pour la mise en œuvre de ces initiatives. En effet, 80 % des participants ont indiqué que leurs budgets pour Zero Trust avaient augmenté par rapport à l’année précédente. Plus précisément, 60 % signalent des augmentations de budget allant jusqu’à 25 %, tandis qu’un cinquième supplémentaire enregistre des augmentations encore plus importantes. Cette augmentation des investissements est due, entre autres, à l’augmentation des modèles de travail hybrides, à l’accès illimité aux environnements cloud ainsi qu’à la hausse du nombre d’attaques sur les réseaux d’entreprise.

Les employés restent le plus grand risque pour la sécurité

Cependant, soulignent les auteurs de l’étude, Zero Trust est loin d’être une solution miracle, car il reste encore de nombreux facteurs d’incertitude à gérer. En tête de liste, les employés, qui souhaitent désormais se connecter à partir de n’importe quel appareil et de n’importe quel endroit. S’ajoutent à cela des compétences insuffisantes en raison de faibles effectifs dans le domaine de la sécurité ainsi que des lacunes dans la modernisation de l’infrastructure informatique. Les défis de Zero Trust sont donc devenus plus complexes et structurels.

Pour faire face au facteur d’incertitude « humain » de la meilleure manière possible, 34 % de tous les décideurs IT et sécurité interrogés misent sur l’authentification multi-facteurs. Cela s’applique aussi bien aux partenaires externes qu’aux fournisseurs. 33 % préfèrent cette mesure de sécurité pour leurs propres employés. Contrairement au rapport de l’année dernière, où l’ergonomie était au premier plan en raison des nombreux modèles de travail hybrides, deux entreprises sur trois tendent désormais à mettre l’accent sur la sécurité dans le cadre de l’approche Zero Trust.

Leaders en matière de Zero Trust : le secteur financier et l’industrie du logiciel

Un regard sur les initiatives Zero Trust dans les différents secteurs révèle que, selon que les secteurs sont soumis à des réglementations légales et à quelle intensité, les mesures de sécurité qu’ils mettent en œuvre varient également pour garantir une conformité fiable. Si l’on examine, par exemple, les secteurs des services financiers et de la santé ainsi que le secteur public et l’industrie du logiciel, on constate que toutes les branches ont réalisé les plus grands progrès en matière de mise en œuvre de Zero Trust, mais qu’il reste encore beaucoup à faire. Les prestataires de services financiers sont en tête avec 61 %, suivis par l’industrie du logiciel avec 59 %, le secteur public avec 56 % et le secteur de la santé avec 50 %.

Le secteur financier privilégie la protection de ses serveurs et bases de données

Peu de secteurs ont subi autant d’attaques de sécurité l’année dernière que le secteur financier. En 2021, 2022 et cette année encore, ce secteur figure régulièrement parmi ceux confrontés aux violations de données les plus graves – touchant souvent des millions de données consommateurs. Zero Trust y a donc été mis en œuvre très tôt. Dès 2022, la moitié de tous les décideurs interrogés dans le monde avaient adopté cette approche. Cette année, ce chiffre a progressé de 21 points de pourcentage supplémentaires. Plus de 90 % des personnes interrogées accordent une place centrale à la gestion des identités.

En matière de protection des ressources, les prestataires de services financiers concentrent leurs efforts sur leurs serveurs, bases de données et applications SaaS. 62 % déclarent avoir déjà mis en œuvre des mesures pour protéger ces ressources, tandis que 51 % en planifient le déploiement. Concernant la sécurisation des accès, 43 % utilisent le Single Sign-On (SSO) ou l’authentification multi-facteurs. Par ailleurs, 36 % recourent à la gestion des accès privilégiés (Privileged Access Management) dans le cloud.

Trois mesures Zero Trust prioritaires dans le secteur financier

1. Authentification multi-facteurs pour les employés (61 % mise en œuvre / 34 % prévue)
2. Accès sécurisé aux API (59 % mise en œuvre / 36 % prévue)
3. Single Sign On pour les employés (56 % mise en œuvre / 38 % prévue)

Zero Trust dans l’industrie du logiciel : de zéro à 70 % en deux ans

Moins réglementée que le secteur financier, l’industrie du logiciel ne lui cède en rien en matière de Zero Trust. Alors qu’elle partait presque de zéro en 2021, son taux d’adoption d’une stratégie Zero Trust atteint aujourd’hui près de 70 %. Cette croissance fulgurante s’explique sans doute par le fait que les développeurs de logiciels savent parfaitement pourquoi la sécurité fondée sur l’identité constitue un atout précieux à préserver. 61 % priorisent la protection de leurs serveurs, 58 % celle de leurs bases de données, et 48 % chacun se concentrent sur les applications internes et les solutions SaaS.

Trois mesures Zero Trust prioritaires dans l’industrie du logiciel

1. Authentification multi-facteurs pour les employés (59 % mise en œuvre / 36 % prévue)
2. Accès sécurisé aux API (56 % mise en œuvre / 38 % prévue)
3. Single Sign On pour les employés (50 % mise en œuvre / 40 % prévue)

Secteur public : Zero Trust résiste à la bureaucratie

Le secteur public est également fortement sollicité en matière de concepts de sécurité. Malgré des réglementations strictes et des obstacles bureaucratiques, 56 % des organisations ont déjà mis en œuvre une stratégie Zero Trust. Près d’un tiers envisage de le faire dans les 6 à 12 prochains mois. Les serveurs et les bases de données ont été identifiés comme les ressources les plus critiques à protéger. Ainsi, plus de la moitié des personnes interrogées indiquent sécuriser leurs serveurs via des connexions SSO et l’authentification multi-facteurs (MFA). Environ 43 % ont déployé l’une ou l’autre de ces deux mesures.

Trois mesures Zero Trust prioritaires dans le secteur public

1. Authentification multi-facteurs pour les employés (56 % mise en œuvre / 38 % prévue)
2. Accès sécurisé aux API (50 % mise en œuvre / 40 % prévue)
3. Single Sign On pour les employés (43 % mise en œuvre / 45 % prévue)

Malgré une forte pression sur les coûts, Zero Trust est mis en œuvre

Même si de nombreuses infrastructures informatiques dans les établissements de santé n’ont pas encore été modernisées et que l’informatique doit faire face à des contraintes budgétaires, la plupart des acteurs reconnaissent pleinement l’importance de concepts de sécurité comme Zero Trust. En ce qui concerne la protection prioritaire des ressources, les personnes interrogées ont indiqué utiliser l’authentification multi-facteurs (MFA) pour les employés et les utilisateurs externes, suivie de la liaison des répertoires des employés aux applications cloud.

Trois mesures Zero Trust prioritaires dans le secteur de la santé

1. Authentification multi-facteurs pour les employés (50 % mise en œuvre / 45 % prévue)
2. MFA pour les utilisateurs externes (fournisseurs, partenaires) (43 % mise en œuvre / 45 % prévue)
3. Répertoires des employés liés aux applications cloud (38 % mise en œuvre / 40 % prévue)

Faits clés en un coup d’œil

Principe : « Never trust, always verify » – pas d’accès sans vérification

Mesure principale : MFA (authentification multi-facteurs) la plus fréquemment mise en œuvre

Autres mesures : micro-segmentation, principe du moindre privilège, surveillance continue

Facteurs de motivation : télétravail, migration vers le cloud, augmentation des cyberattaques

Source : Rapport Okta State of Zero Trust

Fait : Seulement 22 % des entreprises allemandes ont déjà mis en œuvre une stratégie Zero Trust, selon IDC.

Fait : Les entreprises disposant d’une architecture Zero Trust économisent en moyenne 1,76 million de dollars lors d’incidents de sécurité, selon IBM.

Questions fréquentes

Que signifie Zero Trust ?

Zero Trust est un concept de sécurité qui ne fait fondamentalement confiance à aucun utilisateur et à aucun appareil – que ce soit à l’intérieur ou à l’extérieur du réseau de l’entreprise. Chaque accès est vérifié, authentifié et autorisé en continu.

Pourquoi Zero Trust est-il nécessaire aujourd’hui ?

La sécurité périmétrique classique (pare-feu autour du réseau de l’entreprise) ne fonctionne plus : le télétravail, les services cloud et les appareils mobiles dissolvent les frontières réseau fixes. Zero Trust protège également dans des environnements distribués et hybrides.

Quelles mesures font partie de Zero Trust ?

Authentification multi-facteurs (MFA), micro-segmentation du réseau, principe du moindre privilège (droits d’accès minimaux), surveillance continue, gestion des identités et application automatisée des politiques.

Zero Trust est-il pertinent uniquement pour les grandes entreprises ?

Non. Le principe peut être mis en œuvre progressivement. L’authentification multi-facteurs (MFA) et les contrôles d’accès à privilèges minimaux améliorent déjà considérablement la sécurité. Les solutions d’identité basées sur le cloud rendent Zero Trust accessible et abordable pour les PME.

Combien de temps dure la mise en œuvre de Zero Trust ?

Zero Trust n’est pas un projet unique, mais une stratégie continue. Les premières mesures comme la MFA et la segmentation du réseau peuvent être mises en œuvre en quelques semaines. Une architecture Zero Trust complète est un processus pluriannuel nécessitant des ajustements continus.

Lectures complémentaires dans le réseau

Zero Trust dans la planification des médias : Zero Trust dans la planification des médias (Security Today)

Gestion des identités et des accès cloud : cloudmagazin.com

Stratégies de niveau C pour les architectures de sécurité informatique : digital-chiefs.de

Articles connexes

• Comment prévenir les cybermenaces pendant les fêtes
• CNAPP et CSPM 2025 : construire correctement la sécurité native du cloud
• Passkeys 2025 : le guide pratique pour l’introduction dans les entreprises

Source de l’image : Pexels

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer