Cybersécurité: comment la pandémie introduit l’ère de la confiance zéro

Stimulée par le recours massif au télétravail dû à la pandémie de Covid-19 et l’augmentation des cyberattaques, l’approche zero trust a le vent en poupe. Fournisseur de solutions de gestion des identités et d'accès, Okta indique dans un récent rapport que les entreprises donnent toujours plus la priorité à ce concept de cybersécurité consistant à n’accorder aucune confiance aux utilisateurs, appareils ou services, aussi bien à l’intérieur qu'en-dehors du réseau de l’entreprise.

Selon les chiffres d’Okta, basés sur une enquête mondiale menée auprès de plus de 600 responsables de la sécurité IT, seule une firme sur dix indique n’avoir aucun projet (aujourd’hui ou dans les prochains 12 à 18 mois) en lien avec le zero trust. Contre plus de la moitié en 2020 et plus de trois-quart en 2019. Opter pour cette approche de cybersécurité est encore davantage une priorité pour trois secteurs d'activité: la santé, la finance et celui des logiciels. Alors que seulement 9% des entreprises technologiques ont mis en place une initiative zero trust aujourd'hui, plus de trois-quart prévoient de le faire au cours de l'année prochaine, souligne Okta. Un changement de stratégie probablement en lien avec des cyberattaques à la supply chain logicielle en recrudescence.

Les personnes sont le nouveau périmètre

Cette évolution s'explique notamment par la généralisation du télétravail, qui a poussé les entreprises à considérer en priorité les individus dans la mise en place d'une stratégie de cybersécurité, devant les appareils et les données. «Les entreprises doivent prendre conscience que les personnes constituent le nouveau périmètre. Elles doivent donc adopter l'authentification forte pour tous les services - à tout moment et en tout lieu, sur site au bureau, dans le cloud ou en mobilité, pour les employés comme pour les clients, partenaires, entrepreneurs et fournisseurs», explique Ben King, responsable de la sécurité pour la région EMEA chez Okta. L’adoption du zero trust fait face à plusieurs freins, avant tout le manque de compétences. Mais aussi, entre autres, les préoccupations liées au budget ou aux retards technologiques.

Extension du single sign-on et de l'authentification multifacteur

La gestion des identités et des accès est au cœur des initiatives zero trust. Des solutions de single sign-on (SSO) pour les employés sont d’ores et déjà déployées par la plupart d'entreprises dans le monde. Au contraire des solutions SSO ciblant les utilisateurs externes, mises en place par moins d'un tiers des entreprises. Les employés d’une nette majorité d’entreprises doivent recourir à un système d'authentification multifacteur (MFA). Mais cette procédure est encore rarement imposée aux utilisateurs externes. Les solutions SSO et MFA sont le plus souvent déployées pour sécuriser l’accès aux applications SaaS. Suivent les bases de données et les applications internes. Moins d’une entreprise sur deux ont étendu ces systèmes d'authentification aux serveurs mais beaucoup comptent le faire dans les 12 à 18 prochains mois.

Des facteurs peu sûrs trop employés

Etape suivante d’une stratégie zero trust, la mise en place de solutions basées sur le contexte est encore moins courante. Selon l’étude d’Okta, la moitié des entreprises ont déployé des systèmes de facteurs multiples à travers des groupes d'utilisateurs. «Il est impressionnant de constater que 45% des entreprises mondiales (plus de 50% dans les services financiers et les logiciels) déclarent utiliser la biométrie, un facteur d'authentification élevé», notent les auteurs de l'étude. Mais la plupart du temps, les entreprises s'appuient encore sur des facteurs peu sûrs auxquels les pirates peuvent accéder à l’aide de techniques d’ingénierie sociale. Le facteur le plus employé reste le mot de passe (95%), tandis qu'environ deux tiers des entreprises utilisent des questions de sécurité ou la validation par SMS, voix ou e-mail.