Le Zero Trust doit faire ses preuves en 2024

C’est en 2021 que les entreprises ont vraiment pris conscience de l’intérêt des architectures informatiques Zero Trust et envisagé leur transition. Pour la plupart d’entre elles, le parcours a véritablement commencé en 2023 avec des mises en œuvre dans les environnements de production. À l’approche de 2024, de nombreuses entreprises qui ont adopté l’informatique Zero Trust devront démontrer qu’elles ont franchi, au minimum, certaines étapes. Or, il n’existe pas de véritables normes dans ce domaine. Il est donc difficile de définir un ensemble de mesures qui permettraient de vérifier si une capacité spécifique est atteinte et maintenue.

En l’absence de normes, les entreprises seront probablement de plus en plus nombreuses à s’appuyer sur des évaluations de services tiers pour, au minimum, valider leurs initiatives Zero Trust. Par exemple, Veterans Cybersecurity Group, un fournisseur de services de formation en cybersécurité pour les agences fédérales, a mis en place le programme Zero Trust Proving Ground (ZTPG) pour tester et évaluer les initiatives dans ce domaine. Toute organisation qui espère réduire ses primes de cyberassurance est appelée à démontrer ses efforts en matière de zéro confiance pour obtenir ce type de validation.

En théorie, les architectures Zero Trust sont essentiellement basées sur la capacité à authentifier les utilisateurs individuels, les machines et même les composants logiciels d’une application. Si beaucoup d’entreprises s’efforcent aujourd’hui d’aller au-delà des mots de passe pour identifier qui accède à quels services, elles sont encore trop peu à attribuer des identités à des machines et applications individuelles. Même s’il est important de protéger les mots de passe faciles à voler, ce n’est que la première étape vers la mise en place d’un environnement informatique Zero Trust qui nécessite l’intégration de plusieurs technologies par les équipes de cybersécurité. Il n’existe pas de plateforme informatique Zero Trust totalement clé en main.

Cependant, plus la plateforme est moderne, plus elle est susceptible d’intégrer les principes Zero Trust. Par conséquent, les mises à niveau de l’infrastructure et des applications sont plus que nécessaires. La plus grande difficulté n’est pas tant de gérer cette transition que d’amener les équipes informatiques et de cybersécurité à s’entendre sur ce qui peut être considéré comme une plateforme ou une application Zero Trust.

Les réglementations étant de plus en plus strictes, ce n’est plus qu’une question de temps avant que l’architecture Zero Trust ne devienne une obligation. Une enquête récente menée par Okta, un fournisseur de plateformes de gestion des identités et des accès, auprès de 800 décideurs en matière de sécurité de l’information, a révélé que 61 % des personnes interrogées travaillaient pour des entreprises ayant mis en œuvre une initiative informatique Zero Trust, et 35 % pour des entreprises qui prévoyaient de le faire prochainement. 80 % des personnes interrogées ont déclaré que les budgets de ces initiatives avaient augmenté d’année en année, et 20 % que les dépenses avaient augmenté de 25 % ou plus. Il est clair qu’en dépit des difficultés économiques persistantes, de nombreuses organisations continuent de privilégier ces initiatives dans le contexte de leur stratégie informatique globale.

Bien entendu, les initiatives Zero Trust, d’une manière ou d’une autre, seront mises à l’épreuve. Après tout, les cybercriminels surveillent de près ces efforts. De nombreuses entreprises devront sans doute passer un certain nombre d’essais et d’erreurs à mesure que les cybercriminels adaptent leurs tactiques et leurs techniques. À cet égard, la cybersécurité restera un jeu du chat et de la souris. C’est juste que les chances devraient, espérons-le, pencher un peu plus en faveur du chat plutôt que des souris qui seront toujours plus nombreuses.