Gartner prévoit que 75 % des agences fédérales américaines ne parviendront pas à mettre en œuvre des politiques de sécurité "Zero Trust" d'ici à 2026. Le financement et l'expertise seraient les principaux facteurs de non-conformité des politiques.D'ici 2026, 75 % des agences fédérales américaines ne parviendront pas à mettre en œuvre des politiques de sécurité de confiance zéro en raison d'un manque de financement et d'expertise, selon Gartner, Inc.
Gartner définit la confiance zéro (Zero Trust) comme un paradigme de sécurité qui part du principe qu'il ne faut faire confiance à aucun utilisateur final, qui identifie explicitement les utilisateurs et leur accorde le niveau d'accès précis nécessaire à l'accomplissement de leur tâche. La confiance zéro n'est pas une technologie, un produit ou un service spécifique. Il s'agit plutôt d'un ensemble de principes de conception de la sécurité qui contraste avec l'approche traditionnelle de la sécurité basée sur le périmètre.
"Avec l'échéance de septembre 2024 pour les exigences spécifiques de confiance zéro pour les agences fédérales américaines, les exigences sont larges pour toutes les agences", a déclaré Mike Brown, vice-président analyste chez Gartner. "Cependant, à l'instar d'autres échéances de conformité, les agences auront du mal à atteindre ces objectifs. Compte tenu des délais habituels d'adoption du budget fédéral par le Congrès, les fonds ne seront probablement pas disponibles pour l'initiative de confiance zéro avant le deuxième trimestre de l'exercice 2024, ce qui ne laisse qu'une année partielle pour atteindre les objectifs."
Les agences qui mettent en œuvre la confiance zéro sont confrontées à des obstacles à court terme
Bien que les réalisations ou l'absence de réalisations en matière de confiance zéro puissent être prises en compte dans les audits, les rapports publics sur les détails spécifiques des progrès réalisés en matière de confiance zéro peuvent être limités ou obscurcis. Il s'agit d'éviter d'identifier les aspects les plus faibles de la cybersécurité gouvernementale au profit d'acteurs malveillants.
"L'un des principaux obstacles auxquels se heurtent les organismes publics dans leur démarche de confiance zéro est la pénurie de compétences en matière de cybersécurité", a déclaré M. Brown. "Les agences gouvernementales doivent rivaliser avec le secteur privé pour recruter du personnel possédant les compétences nécessaires. Pour remédier à cette pénurie de talents, les agences devraient travailler simultanément avec des contrats de service, pour recycler le personnel existant et pour recruter du nouveau personnel".
Le non-respect des échéances politiques continuera d'exposer les agences fédérales à des risques qui pourraient être atténués.
"Cela pourrait conduire à l'interruption de services gouvernementaux vitaux ou à la compromission d'informations sensibles, ce qui aurait un impact fiscal significatif sur la résolution de ce qui pourrait être évité", a déclaré M. Brown. "Des failles de sécurité se produiront, car même les meilleures implémentations de cybersécurité ne sont pas à l'abri. Cependant, les agences et leurs DSI qui ne parviennent pas à adopter pleinement et rapidement des mesures de confiance zéro seront les plus mal vus. Une faille catalyse souvent l'attention et l'investissement dans l'atténuation des risques, ce qui est un besoin prévisible."
Source : Gartner
Et vous ?
Pensez-vous que ces prévisions sont crédibles ou pertinentes ? Quel est votre avis sur le sujet ?Voir aussi :
L'approche d'authentification Zero Trust vise une sécurité plus renforcée et répond à l'échec des méthodes d'authentification traditionnelles, selon Beyond Identity Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier" par Sascha Giese, Head Geek, SolarWinds Pour 92 % des entreprises, la sécurité des identités est essentielle pour un déploiement robuste du Zero Trust, selon une étude de CyberArk