Au cours des trois dernières années, la part des entreprises dans le monde ayant mis en œuvre une initiative zero trust est passée de 24 % en 2021 à 61% en 2023, selon les données du rapport State of Zero Trust 2023 d'Okta. Parmi elles, ce sont surtout les entreprises de 5 000 à 9 999 employés - soit trois sur quatre - qui ont opté pour cette stratégie de cybersécurité, par rapport à celles comptant entre 500 et 999 employés. Le rapport est basé sur les réponses de 860 responsables de la sécurité de l'information d'Amérique du Nord (États-Unis, Canada), de la région EMEA (Danemark, Finlande, France, Allemagne, Irlande, Pays-Bas, Norvège, Suède, Royaume-Uni) et de la région APJ (Japon, Australie). Par ailleurs, dans les 18 prochains mois, 35 % des personnes interrogées prévoient de mettre en œuvre une initiative zero trust, contre 4 % qui n'en prévoient pas et n'en ont pas mis en place.
En termes d'initiatives déjà en place, la région Amérique du Nord est en tête, mais les entreprises des régions EMEA (Europe Moyen-Orient et Afrique) et APJ (Asie-Pacifique et Japon) gagnent rapidement du terrain, et presque tous les retardataires de ces deux régions prévoient d'adopter une initiative zero trust dans les 6 à 12 ou 13 à 18 mois à venir. Malgré les pressions macroéconomiques qui obligent à réduire les coûts, 80 % des personnes interrogées ont déclaré que leurs budgets pour les initiatives zero trust avaient augmenté par rapport à l'année précédente. 60 % font état d’augmentations de budget de 1 % à 24 %, et 20 % ont augmenté ces budgets de 25 % ou plus. À noter aussi que l'identité est devenue un élément important de ce type de stratégies. Ainsi, 51 % des personnes interrogées déclarent qu'elle est extrêmement importante, ce qui représente une augmentation considérable par rapport aux 27 % de 2022, et 40 % des personnes interrogées ont déclaré qu'elle était assez importante.
L’IAM, de plus en plus dévolue aux équipes de sécurité
La gestion des identités et des accès (Identity and Access Management ou IAM), autrefois pré carré des départements IT, est de plus en plus confiée aux équipes de cybersécurité. C'est ce que confirme l'étude d'Okta, selon laquelle 73 % des équipes de sécurité sont désormais responsables de l'IAM en Amérique du Nord et 50 % dans la région EMEA. Dans la région Asie-Pacifique, le changement est plus lent : si 41% des entreprises demandent toujours aux équipes de sécurité de gérer l'IAM, 56% d’entre elles confient à ces équipes soit la supervision de l'identité, soit la gestion de la technologie, mais pas les deux. D'autres indicateurs témoignent de l'importance croissante des initiatives en matière d'identité, puisque 34 % des personnes interrogées utilisent l'authentification multi-facteurs (MFA) pour les utilisateurs externes et 33 % pour le personnel interne. Parmi les quatre secteurs sondés par le rapport, les organismes de santé donnent la priorité au MFA pour les utilisateurs externes et internes et à la connexion des annuaires aux applications cloud. Le secteur public privilégie ce type d'authentification pour les utilisateurs externes, et l'accès sécurisé aux API et cette méthode d'authentification pour les employés. Dans les services financiers, c’est elle a la préférence pour les employés, mais pour les utilisateurs externes on retrouve à la fois le MFA et la gestion des accès à privilèges pour l'infrastructure cloud. Enfin, dans le secteur des logiciels, l'authentification multifactorielle est privilégiée pour les employés, et l'accès sécurisé aux API et le MFA pour les utilisateurs externes.
Les priorités de sécurité à venir
Au cours des 12 à 18 prochains mois, les décideurs donneront la priorité à la gestion des accès à privilèges pour l'infrastructure cloud (42%), à la sécurisation de l'accès aux API (42%) et à la mise en œuvre du MFA pour les employés (42%). De plus, en matière d'authentification, les entreprises devraient utiliser davantage cette méthode et l'authentification unique pour protéger les serveurs et les bases de données. Plus de la moitié des dirigeants interrogés ont déclaré que dans le cadre d’une stratégie zero trust l'identité était extrêmement importante, et 40 % ont déclaré qu'elle était assez importante. C’est un changement notable par rapport à l'année dernière, où 26 % des personnes interrogées avaient déclaré que l'identité était essentielle à la mission de l'entreprise. Les responsables IT intègrent leurs IAM à la gestion des terminaux mobiles (MDM). Selon le rapport d’Okta, le SIEM, le MDM et la protection des endpoints sont les trois systèmes les plus importants à intégrer directement et en priorité dans une solution IAM.
Au niveau mondial, « malgré leur faible degré d’assurance », l’usage des mots de passe perdure obstinément pour l'authentification, « et ils restent la norme dans plus de la moitié des entreprises interrogées ». L’authentification à l’aide de questions de sécurité en guise d’identifiant, guère plus efficaces, est la deuxième modalité la plus répandue au niveau mondial et dans les régions EMEA et APJ, et elle occupe désormais la première place en Amérique du Nord. Le rapport a également mis en évidence l'utilisation d'autres services à faible degré d'assurance, notamment les mots de passe à usage unique (One Time Password, OTP) matériels et par SMS, par voix et par courrier électronique. Les facteurs comme les OTP à jeton physique et les authentificateurs push, considérés par le rapport comme ayant un degré d'assurance moyen, sont utilisés par moins d’entreprises (36 % et 29 %, respectivement), et seulement 19 % d’entre elles utilisent des facteurs ayant un niveau d'assurance élevé, comme les authentificateurs basés sur des plates-formes et la biométrie. « Nous pensons que l'usage de l’authentification multi-facteurs va continuer à se diffuser jusqu’à devenir dominante, mais de nouvelles réglementations vont probablement obliger certains secteurs comme les services financiers et le secteur public à adopter des facteurs d'authentification sans mot de passe et d'autres solutions capables de résister au phishing », peut-on encore lire dans le rapport.
Commentaire