Pour la plupart des organisations, une stratégie de confiance zéro ne concerne que la moitié ou moins de l’environnement de l’organisation. 63 % des organisations dans le monde ont entièrement ou partiellement mis en uvre une stratégie de confiance zéro, selon Gartner, Inc. Pour 78 % d’entre elles, cet investissement représente moins de 25 % du budget global consacré à la cybersécurité.
Une enquête menée par Gartner au quatrième trimestre 2023 auprès de 303 responsables de la sécurité dont les organisations ont déjà mis en uvre (entièrement ou partiellement) ou prévoient de mettre en uvre une stratégie de confiance zéro a révélé que 56 % des organisations poursuivent principalement une stratégie de confiance zéro parce qu’elle est citée comme une meilleure pratique de l’industrie.
« Malgré cette croyance, les entreprises ne savent pas exactement quelles sont les meilleures pratiques pour la mise en uvre de la confiance zéro« , a déclaré John Watts, VP Analyst, KI Leader chez Gartner. « Pour la plupart des entreprises, une stratégie de confiance zéro concerne généralement la moitié ou moins de l’environnement d’une entreprise et atténue un quart ou moins du risque global de l’entreprise.«
Le cabinet Gartner a formulé trois recommandations principales pour les responsables de la sécurité qui mettent en uvre une stratégie de confiance zéro.
Pratique 1 : Définir très tôt le champ d’application d’une stratégie de confiance zéro
Pour réussir la mise en uvre de la confiance zéro, les entreprises doivent savoir quelle est l’étendue de l’environnement qu’elles couvrent, quels sont les domaines concernés et quel est le niveau de risque qu’elles peuvent atténuer. Le champ d’application d’une stratégie de confiance zéro n’inclut généralement pas l’ensemble de l’environnement d’une organisation. Cependant, 16 % des répondants à l’enquête ont déclaré qu’elle couvrirait 75 % ou plus de l’environnement de l’organisation, tandis que 11 % seulement pensent qu’elle couvrira moins de 10 % de l’environnement de l’organisation.
« Le champ d’application est la décision la plus critique pour une stratégie de confiance zéro« , a déclaré M. Watts. « Le risque d’entreprise est beaucoup plus large que le champ d’application des contrôles de confiance zéro, et le risque d’entreprise ne peut être atténué que dans une certaine mesure. Toutefois, la mesure de la réduction des risques et l’amélioration de la posture de sécurité sont des indicateurs clés de la réussite des contrôles zéro confiance.«
Pratique 2 : Communiquer sur les succès obtenus grâce à des mesures stratégiques et opérationnelles de la confiance zéro
79 % des organisations qui ont totalement ou partiellement mis en uvre la confiance zéro disposent d’indicateurs stratégiques pour mesurer les progrès accomplis, et sur ces 79 %, 89 % disposent d’indicateurs pour mesurer les risques. Les responsables de la sécurité doivent également garder à l’esprit leur public lorsqu’ils communiquent ces mesures. 59 % des initiatives de confiance zéro sont parrainées par le CIO ou le CEO/président/conseil d’administration.
« Les mesures de la confiance zéro doivent être adaptées aux produits livrables de la confiance zéro plutôt que de répéter les mesures utilisées dans d’autres domaines, tels que l’efficacité de la détection et de la réponse des points d’extrémité« , a déclaré M. Watts. « Les efforts en matière de confiance zéro produisent des résultats spécifiques – tels que la réduction du mouvement latéral des logiciels malveillants sur un réseau – qui ne sont souvent pas pris en compte par les mesures existantes en matière de cybersécurité.«
Pratique 3 : Anticiper l’augmentation des effectifs et des coûts, mais pas les retards
72 % des organisations prévoient une augmentation de leurs coûts et 41 % d’entre elles s’attendent à ce que leurs besoins en personnel augmentent également à la suite d’une mise en uvre de la confiance zéro.
« Les impacts budgétaires des organisations qui adoptent une stratégie de confiance zéro varieront en fonction de l’ampleur du déploiement et de la solidité de la stratégie de confiance zéro dès le début du processus de planification« , a déclaré M. Watts. « Les initiatives de confiance zéro affectent intrinsèquement le budget car les organisations adoptent une approche systémique et itérative pour faire évoluer leurs politiques vers des contrôles adaptatifs et basés sur le risque, ce qui ajoute des frais généraux à la charge opérationnelle permanente de l’organisation. »
Bien que seulement 35 % des organisations aient déclaré avoir rencontré un échec qui a perturbé la mise en uvre de leur stratégie de confiance zéro, les organisations devraient disposer d’un plan stratégique de confiance zéro décrivant les mesures opérationnelles et mesurer l’efficacité des politiques de confiance zéro afin de minimiser les retards.
Source : Gartner
Et vous ?
Pensez-vous que cette enquête est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :