zero trust concept security

88% des cisos ont du mal à mettre en œuvre zéro confiance

Lucas Morel

Vaguement défini, minimalement incité et souvent sans fin, le parcours de confiance zéro est notamment difficile et complexe. Dit un responsable de l’authentification: «Je veux rencontrer les 12% qui n’ont pas trouvé cela difficile.

Selon un récent rapport d’Accenture, près de neuf dirigeants de la sécurité sur 10 ont connu des défis considérablement dans leurs tentatives de mise en œuvre de confiance zéro. La nature globale des déploiements de confiance zéro, le niveau de recul des chefs de département et le temps extrêmement long nécessaire pour un retour sur investissement significatif sont des facteurs clés des frustrations de la confiance zéro des CISO, selon les analystes de l’industrie et les spécialistes de la sécurité.

« Même la mise en œuvre de Zero Trust, un cadre de sécurité fondamental, pose un défi important pour 88% des organisations », a déclaré le rapport Accenture. «Cette vulnérabilité s’étend au monde physique, 80% incapables de protéger efficacement leurs systèmes cyber-physiques.»

Une grande partie de la lutte est que de nombreuses entreprises définissent la confiance zéro très différemment. Il n’a jamais été une spécification autant qu’une approche de sécurité, bien que cela ne soit pas de dire que de nombreux cisos n’ont pas eu de succès significatif dans le déplacement de l’aiguille Zero Trust dans leurs organisations.

De plus, que chaque environnement d’entreprise est unique nécessite un manque de détails de mise en œuvre spécifiques pour Zero Trust, car la conformité, les géographies, les verticales et la nature des partenaires et d’autres qui ont besoin d’accès aux systèmes d’une organisation peuvent tous varier sauvagement, en plus du sur site, du cloud, du site distant, de l’IoT et des détails hérités.

«C’est une transformation stratégique, pas un déploiement tactique, et c’est pourquoi nous constatons une lutte aussi répandue dans l’industrie», explique Prashant Deo, le chef de la pratique mondiale de la cybersécurité chez Tata Consultancy Services. «La mise en œuvre de zéro confiance au niveau de l’entreprise est une tâche difficile qui peut nécessiter une approche centrée sur les cas en phase et d’utilisation dans le cadre du parcours de fiducie Zero.»

Deo soutient que l’état d’esprit Zero Trust est fondamentalement en contradiction avec la façon dont les entreprises ont toujours abordé la sécurité.

«Pendant des décennies, la sécurité a été construite sur la prémisse de la confiance implicite dans le périmètre du réseau. Le modèle de confiance Zero exige un renversement complet de cette pensée», note Deo. «Le déplacement d’une organisation entière vers une culture« Never Trust, toujours »est un changement significatif et difficile.»

Rex Booth, CISO à Sailpoint, dit que la confusion définitionnelle est derrière beaucoup de friction.

«Zero Trust signifie une variété de choses pour une variété de personnes. Nous ne voulons pas faire face à ce que Zero Trust signifie et offrir ce modèle idéalisé comme« c’est la seule façon de faire zéro confiance », dit-il.

Karen Andersen, une architecte d’identité avec une technologie mondiale, est d’accord avec Booth sur la nature ambiguë du terme.

«Je pense souvent que les gens ne savent pas quoi faire du terme. Certaines personnes disent que c’est un produit, mais cela signifie des choses différentes pour différentes personnes», explique Andersen. «Je pense souvent que cela peut être considéré comme un mot à la mode marketing, mais je crois en la stratégie derrière.»

En fait, Andersen est surpris que seulement 88% des dirigeants de la sécurité ont déclaré avoir trouvé difficile le déploiement de zéro fiducie.

«Je veux rencontrer les 12% qui n’ont pas trouvé cela lutte», ironise-t-elle.

Le voyage sans fin

Un déploiement de fiducie zéro vraiment complet peut prendre plus d’une décennie à exécuter, dit Andersen – en supposant qu’il est jamais terminé.

«Lorsque j’explique Zero Trust (à la haute direction), je leur dis que c’est une stratégie d’une feuille de route de 10 à 12 ans, pour vraiment construire cette fondation», dit-elle. «Je ne pense pas que vous arriviez à la fin de Zero Trust.»

Saleh Hamdan Al-Bualy, qui a passé des années en tant que responsable de la sécurité de l’information pour la chaîne hôtelière de Four Seasons, est un autre cybercrit à long terme qui est préoccupé par la complexité de la confiance zéro et la pénurie d’incitations concrètes pour la livrer.

«Il n’y a absolument aucune incitation à le faire», explique Al-Bualy, qui aujourd’hui il est le chef de la sécurité d’une startup furtive de l’IA et définit Zero Trust comme le contraire de l’hôte de confiance d’Unix. «Il a un effet de ralentissement sur l’entreprise. Vous ne pouvez pas faire de confiance à moins que vous ne l’appréciez pleinement. Jusque-là, vous n’obtiendrez aucun des avantages.»

Al-Bualy souligne que la seule façon dont Zero Trust peut réussir est si elle est poussée en haut, du conseil d’administration ou du PDG jusqu’au bureau de la CISO, similaire à la façon dont l’IA génératrice a été poussée.

«Vous devez convaincre le conseil d’administration et l’équipe de direction que nous devons le faire pour des raisons XYZ», dit-il.

Will Townsend, vice-président et analyste principal de Moor Insights & Strategy, dit que la nature d’une rémunération typique d’une CISO a tendance à décourager un déploiement enthousiaste de la confiance zéro.

«La rémunération n’est généralement pas alignée sur les objectifs (zéro fiducie). La plupart des sociétés cotées en bourse vivent un trimestre à un trimestre», souligne Townsend. «Qu’est-ce qui est valorisé, les choses améliorent la productivité du LOB, la capacité du lob à monétiser les services de niche. Il y a aussi plus de priorité sur la sécurité du cloud. Comment attribuez-vous un retour sur investissement immédiat à l’amélioration de l’hygiène de sécurité?»

Le DEO de Tata dit qu’un autre facteur qui a tendance à ajouter de la friction à Zero Trust Journeys est le manque de visibilité dans le paysage mondial des menaces d’une entreprise.

Les entreprises ont souvent une «mauvaise visibilité des flux de données entre le sujet et les ressources, ce qui rend difficile de déterminer les modèles d’accès actuels et le besoin d’un accès de confiance zéro au sein de l’entreprise», explique Deo. «La capacité de surveiller et de sonder en continu pour l’état actuel de l’utilisateur et de l’appareil s’avère également prohibitif d’adopter une vraie confiance zéro.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire