Etude Zscaler : 90% des entreprises ont déjà mis en place une approche Zero Trust, mais des efforts restent à faire pour exploiter pleinement le potentiel commercial de ce modèle

décembre 2022 par Zscaler

Zscaler, Inc. vient de publier son rapport ’The State of Zero Trust Transformation 2023’, qui s’appuie sur une étude mondiale menée auprès de plus de 1 900 professionnels de l’informatique au sein d’entreprises ayant entamé la migration de leurs applications et services vers le cloud. Ce dernier révèle que plus de 90% des DSI ayant entamé leur migration vers le cloud ont mis en place, mettent en place ou prévoient de mettre en place une architecture de sécurité de type Zero Trust. Par ailleurs, plus des deux tiers des entreprises (soit 68%) estiment qu’il est impossible de transformer le cloud en toute sécurité avec les infrastructures de sécurité réseau existantes ou que l’accès au réseau de type Zero Trust (ZTNA) présente des avantages évidents par rapport aux pares-feux et aux VPN traditionnels pour l’accès à distance aux applications.

Pour les DSI inscrits dans un contexte de transformation numérique rapide, le modèle de sécurité Zero Trust fondé sur le principe qu’aucun utilisateur ou application ne saurait inspirer une confiance absolue- constitue le cadre idéal pour sécuriser les collaborateurs, les workloads et les environnements IoT/OT, dans un monde hautement connecté au cloud et centré sur le mobile.

L’étude Zscaler souligne que, à l’échelle mondiale, le modèle Zero Trust peut débloquer des opportunités dans l’ensemble du processus de numérisation, qu’il s’agisse de stimuler l’innovation, de favoriser un meilleur engagement des collaborateurs ou de réaliser des économies conséquentes.

Les principales préoccupations liées au cloud

Les DSI interrogés dans le cadre de l’enquête ont mentionné la sécurité, l’accès et la complexité comme principaux freins liés au cloud, d’où l’intérêt du Zero Trust pour surmonter ces obstacles. Concernant les infrastructures de réseau et de sécurité existantes, 54% des sondés considèrent que les VPN ou les pares-feux basés sur le périmètre sont incapables d’offrir une protection optimale contre les cyberattaques et offrent une mauvaise visibilité sur les attaques et le trafic des applications. Cela explique pourquoi 68% des DSI estiment impossible de sécuriser la transformation du cloud avec une infrastructure de sécurité réseau existante et voient des avantages évidents au ZTNA par rapport aux pares-feux et aux VPN traditionnels pour sécuriser l’accès distant aux applications.

Le contexte du cloud - un manque de confiance

Bien que les progrès en matière de Zero Trust soient importants, seules 22% des entreprises consultées dans le cadre de l’étude à l’échelle mondiale sont totalement convaincues qu’elles exploitent le plein potentiel de leur infrastructure cloud. Les entreprises se sont bien engagées dans cette voie, mais il reste encore beaucoup à faire pour optimiser les avantages du cloud. Concernant les disparités nationales, 42% des entreprises américaines ont une confiance totale dans l’utilisation de leur infrastructure cloud, contre 14% sur la zone EMEA et 24% sur la zone APAC. Si l’Inde (55%) et le Brésil (51%) sont en tête du classement, suivis par les États-Unis (41%) et le Mexique (36%), les pays européens et asiatiques affichent quant à eux une confiance moindre : en Europe, la Suède (21%) et le Royaume-Uni (19%) sont en tête, suivis par l’Australie (17%), le Japon (17%) et Singapour (16%). Parmi les autres pays européens accusant un peu plus de retard, on compte les Pays-Bas (14%), l’Italie (12%), la France (11%), l’Espagne (11%) et l’Allemagne (9%).

Si, à première vue, la sécurité semble encore freiner la migration vers le cloud, des obstacles plus fondamentaux persistent aux yeux des DSI, comme la capacité à exploiter le plein potentiel du cloud. Ces derniers évoquent notamment les problèmes de confidentialité des données, les difficultés de sécurisation des données dans le cloud et les soucis d’extension de la sécurité réseau. Cependant, lorsqu’on leur demande quels sont les principaux facteurs à l’origine des initiatives de la transformation numérique de leur entreprise, ils citent la réduction des coûts, la facilitation des technologies émergentes telles que la 5G et l’Edge computing, et la gestion des cyber-risques. Il existe donc peut-être encore un réel manque de compréhension quant à la manière d’optimiser les avantages du cloud de façon plus large sur le plan commercial.

Répondre au concept hybride grâce au Zero Trust

Les directeurs informatiques interrogés estiment qu’au cours des 12 prochains mois, les collaborateurs de leur entreprise continueront d’adopter pleinement les différentes options qui s’offrent à eux, selon qu’ils travaillent à plein temps au bureau (38%), à distance (35%) ou en mode hybride (27%). Toutefois, l’étude révèle également que les entreprises ne sont peut-être pas encore équipées pour faire face à l’évolution constante des pratiques de travail hybrides.

À l’échelle mondiale, seuls 19% des participants ont indiqué qu’une infrastructure hybride spécifique au travail et basée sur le Zero Trust était déjà en place. Il semble donc que les entreprises ne soient pas prêtes à gérer la sécurité à grande échelle de cet environnement de travail hautement distribué. Outre ceux ayant déjà mis à jour leur infrastructure, 50% sont en train de le faire ou envisagent une stratégie hybride basée sur le Zero Trust.

En France, si les DSI sont convaincus à 31% que la mise en place d’un modèle Zero Trust est la solution pour permettre le bon fonctionnement de la nouvelle organisation hybride du travail, seuls 14% indiquent l’avoir déjà mis en place. Ce chiffre est à nuancer avec celui de 40% qui sont en train de déployer le modèle : de quoi être optimiste.

L’expérience utilisateurs reste la principale raison avancée pour appliquer une infrastructure de travail hybride basée sur le principe de Zero Trust. Plus de la moitié (52%) conviennent que cela aiderait à résoudre le problème de l’incohérence des expériences d’accès aux applications et aux données sur site et dans le cloud, 46% qu’elle permettrait de lutter contre la perte de productivité due aux problèmes d’accès au réseau, et 39% que l’utilisation de Zero Trust permettrait aux collaborateurs d’accéder aux applications et aux données à partir de leurs appareils personnels. Ces observations témoignent du défi plus large que représente, au-delà de la sécurité, le travail hybride en termes d’accès, d’expérience et de performance, et du rôle que joue le modèle Zero Trust pour y répondre. 30% des DSI français pensent que le Zero Trust peut réduire le coût des infrastructures IT. 27% pensent que ce modèle de sécurité réduit le risque cyber et 29% qu’il permet une protection accrue des données sensibles.

Le potentiel du Zero Trust pour l’activité commerciale

Zscaler constate que les entreprises planifiant les initiatives technologiques émergentes ne se focalisent pas sur des résultats stratégiques globaux, conformément aux motivations qui sous-tendent la migration vers le cloud. Interrogés sur l’aspect le plus difficile de leur projet de technologie émergente, 30% des répondants citent la sécurité adaptée, puis les exigences budgétaires pour une numérisation plus poussée (23%). Toutefois, seuls 19% indiquent que la dépendance à l’égard des décisions commerciales stratégiques constitue un défi.

Bien qu’il soit normal de se soucier du budget, se concentrer sur la sécurisation du réseau tout en ignorant l’alignement stratégique de l’entreprise suggère que les organisations se concentrent sur la sécurité sans comprendre les avantages qu’elles peuvent en tirer, et que la notion de Zero Trust elle-même n’est pas encore comprise comme un catalyseur.

En France, 46% des personnes sondées pensent que le Zero Trust va devenir un élément clé pour le business de l’entreprise.

« L’état de la conversion au Zero Trust au sein des entreprises est aujourd’hui prometteur : les taux de réalisation sont élevés », déclare Nathan Howe, Vice-Président des Technologies émergentes, 5G chez Zscaler. « Toutefois, les entreprises pourraient être plus ambitieuses. Il existe en effet une opportunité incroyable pour les responsables informatiques d’éduquer leur Direction sur le fait que le Zero Trust constitue un facteur commercial de grande valeur ; en particulier lorsqu’ils sont confrontés à la mise en place d’une nouvelle catégorie d’environnements de travail ou de production hybrides reposant sur une série de technologies émergentes telles que l’IdO et l’OT, la 5G et même le métavers. Une plateforme Zero Trust a le pouvoir de redéfinir les exigences des entreprises et des infrastructures organisationnelles : elle devient un véritable moteur d’activité, qui ne se contente pas de proposer le modèle de travail hybride que les collaborateurs réclament, mais permet aux entreprises de se numériser entièrement, de gagner en agilité, en efficacité et de bénéficier d’une infrastructure à l’épreuve du temps », ajoute-t-il.

Zscaler formule quatre recommandations-clés permettant aux entreprises d’optimiser l’utilisation du Zero Trust :

Les offres de Zero Trust ne sont pas toutes égales : La mise en œuvre d’une véritable architecture Zero Trust repose sur le principe qu’aucun utilisateur ou application n’est intrinsèquement fiable. Cela commence par la validation de l’identité de l’utilisateur, combinée à l’application d’une politique d’entreprise basée sur des données contextuelles, afin de fournir aux utilisateurs et aux workloads un accès direct aux applications et aux ressources, mais jamais au réseau de l’entreprise.

Le Zero Trust, catalyseur de la transformation et des performances de l’entreprise : Dotée d’une sécurité, d’une visibilité et d’un contrôle accrus, une architecture basée sur le principe de "Zero Trust" élimine la complexité de l’informatique et permet aux entreprises de se concentrer sur les performances qu’elles doivent obtenir de leur technologie pour être compétitives.

Le Zero Trust vu par le comité de direction : Pour s’aligner sur la stratégie de l’entreprise, les DSI et les RSSI devraient s’appuyer sur ces résultats pour lever les craintes, les incertitudes et les doutes sur la signification de la notion de Zero Trust et pour promouvoir son véritable impact auprès des décisionnaires.

Les infrastructures Zero Trust, une base pour l’avenir : Les technologies émergentes doivent être considérées comme un avantage commercial concurrentiel et l’approche Zero Trust permettra de répondre aux exigences de connectivité sécurisée et performante des nouvelles tendances.