Pour la plupart des entreprises, le concept de confiance Zéro est une stratégie essentielle pour réduire les risques, mais peu d'entre elles ont réellement mis en place un programme de confiance Zéro. Gartner, Inc. prévoit que d'ici 2026, 10 % des grandes entreprises auront mis en place un programme Zero Trust mature et mesurable, contre moins de 1 % aujourd'hui.Gartner définit la confiance Zéro comme un paradigme de sécurité qui identifie explicitement les utilisateurs et les appareils et leur accorde juste ce qu'il faut d'accès pour que l'entreprise puisse fonctionner avec un minimum de friction tout en réduisant les risques.
"De nombreuses organisations ont établi leur infrastructure avec des modèles de confiance implicite plutôt qu'explicite pour faciliter l'accès et les opérations des travailleurs et des charges de travail. Les attaquants abusent de cette confiance implicite dans l'infrastructure pour établir des logiciels malveillants et se déplacer ensuite latéralement pour atteindre leurs objectifs", a déclaré John Watts, VP Analyst chez Gartner. "La confiance Zéro est une évolution de la pensée pour faire face à ces menaces en exigeant une confiance évaluée en permanence, calculée explicitement et adaptative entre les utilisateurs, les appareils et les ressources."
Pour aider les organisations à compléter l'étendue de leur mise en œuvre de la confiance zéro, il est essentiel que les responsables de la sécurité de l'information (CISO) et les responsables de la gestion des risques commencent par développer une stratégie efficace de confiance zéro qui équilibre le besoin de sécurité avec la nécessité de gérer l'entreprise.
"Cela signifie qu'il faut commencer par la stratégie d'une organisation et définir une portée pour les programmes Zero Trust", a déclaré Watts. "Une fois la stratégie définie, les RSSI et les responsables de la gestion des risques doivent commencer par l'identité - c'est le fondement de la confiance Zéro. Ils doivent également améliorer non seulement la technologie, mais aussi les personnes et les processus pour construire et gérer ces identités."
"Toutefois, les RSSI et les responsables de la gestion des risques ne doivent pas partir du principe que la confiance Zéro éliminera les cybermenaces. Au contraire, la confiance Zéro réduit le risque et limite les impacts d'une attaque."
Les analystes de Gartner prévoient que jusqu'en 2026, plus de la moitié des cyberattaques viseront des domaines que les contrôles Zero Trust ne couvrent pas et ne peuvent pas atténuer.
"La surface d'attaque des entreprises s'étend plus rapidement et les attaquants vont rapidement envisager de pivoter et de cibler les actifs et les vulnérabilités en dehors du champ d'application des architectures de confiance Zéro (ZTA)", a déclaré Jeremy D'Hoinne, VP Analyst chez Gartner." Cela peut prendre la forme d'un balayage et d'une exploitation des API orientées vers le public ou d'un ciblage des employés par le biais de l'ingénierie sociale, de l'intimidation ou de l'exploitation de failles dues au fait que les employés créent leur propre "contournement" pour éviter les politiques strictes Zero Trust."
Gartner recommande aux organisations de mettre en œuvre la confiance Zéro afin d'améliorer l'atténuation des risques pour les actifs les plus critiques en premier lieu, car c'est là que le rendement de l'atténuation des risques sera le plus élevé. Cependant, la confiance Zéro ne résout pas tous les besoins en matière de sécurité. Les RSSI et les responsables de la gestion des risques doivent également mener un programme de gestion continue de l'exposition aux menaces (CTEM) afin de mieux inventorier et optimiser leur exposition aux menaces dépassant le cadre de la ZTA.
Source : Gartner
Et vous ?
Trouvez-vous cette étude de Gartner pertinente ? Quel est votre avis sur le paradigme de sécurité Zero Trust ? Votre entreprise applique-t-elle déjà la politique de confiance zéro ?Voir aussi :
L'approche Zero Trust est essentielle pour réduire les risques de cyberattaque réussie pour toutes les organisations, par Anthony Moillic, Directeur Ingénierie des solutions chez Netwrix 75 % des organisations reconnaissent l'importance du zero trust en matière de cybersécurité, mais seules 14 % d'entre elles ont pleinement mis cette approche en œuvre, selon One Identity Les organisations ne parviennent pas à exploiter pleinement le potentiel du zéro trust, la transformation sécurisée du cloud n'est pas possible avec les infrastructures existantes Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier", par Sascha Giese, Head Geek, SolarWinds