L’état actuel de la sécurité cloud zéro confiance

« Les outils conventionnels ne suffisent plus pour réduire les menaces modernes que nous connaissons », a déclaré Sivasankaran. « Il y a un besoin évident d’approcher une technique de confiance zéro. »

Cloud insecurity

Une toute nouvelle étude, « Global Research Study on No Trust Security for the Cloud », menée par le Ponemon Institute pour le compte d’Appgate, a interrogé près de 1 500 choix informatiques fabricants et spécialistes de la sécurité dans le monde entier. Les entreprises des participants représentaient un mélange diversifié de cloud public et personnel et d’infrastructures sur site, ainsi que des taux d’adoption de conteneurs et de traitement de l’information et de l’informatique dans le cloud différents.

De manière significative, l’enquête indique qu’il existe de nombreuses incitations à transformation du cloud, cependant, les organisations sont toujours confrontées à divers obstacles dans la sécurisation des environnements cloud.

Les principales incitations identifiées incluent l’augmentation des performances (65 %), la réduction des coûts (53 %), l’amélioration de la sécurité (48 %) et la réduction des délais de déploiement (47 %).

D’autre part D’autre part, les principaux obstacles déterminés par les répondants incluent :

• Surveillance/visibilité du réseau (48 %).
• Connaissances internes (45 %).
• Augmentation vecteurs d’attaque (38 %).
• Services de sécurité cloisonnés (36 %).

L’étude a également révélé que 60 % des responsables de l’informatique et de la sécurité ne sont pas positifs dans leur capacité de l’entreprise à garantir un accès sûr et sécurisé au cloud. 62 % des personnes interrogées ont déclaré que les solutions de sécurité traditionnelles basées sur le périmètre ne sont plus appropriées pour atténuer le danger de dangers tels que les ransomwares, les attaques par déni de service distribué (DDoS), les risques experts et les attaques de type « man-in-the-middle ».

Et tandis que les pratiques d’avancement natives du cloud continuent de croître au cours des trois prochaines années, 90 % des personnes interrogées auront adopté les devops et 87 % auront adopté les conteneurs. Pourtant, les pratiques de sécurité modernes ne sont pas aussi répandues.

Seuls 42 % des répondants peuvent en toute confiance segmenter leurs environnements et utiliser le principe de la moindre opportunité, tandis qu’environ un tiers des entreprises n’ont aucune collaboration entre la sécurité informatique et les devops, ce qui représente finalement une menace considérable, selon Sivasankaran.

« Il existe une variété de technologies de sécurité pour le cloud », a-t-il déclaré. « Ce que cela met en évidence, c’est le faible niveau de confiance en soi des entreprises dans ces innovations. »

De plus :

• Seulement 33 % des participants sont positifs envers leur organisation informatique comprend toutes les applications, plates-formes ou services de cloud computing actuellement utilisés.
• Plus de la moitié des participants citent le piratage de compte ou le vol d’informations d’identification (59 %) et l’accès de tiers aux risques (58 %) comme les principaux dangers pour leur infrastructure cloud.
• Les pratiques de sécurité considérées comme les plus essentielles pour obtenir un accès protégé au cloud imposent le moins d’opportunités d’accès (62 %) ; évaluer l’identité, la posture du gadget et le danger contextuel comme critères d’authentification (56 %) ; avoir une vue constante de tout le trafic réseau dans tous les environnements informatiques (53 %) ; et masquage des serveurs, du travail et des données pour empêcher la présence et accéder jusqu’à ce que l’utilisateur ou la ressource soit vérifié (51 %).

S’appuyer sur la sécurité

Selon Markets and Markets, la taille du marché mondial de la sécurité zéro confiance devrait atteindre 60,7 milliards de dollars d’ici 2027, ce qui représente un taux de croissance annuel substantiel (TCAC) de plus de 17 % par rapport à 2022 (quand il était évalué à 27,4 milliards de dollars). Il y a également eu de nombreux appels à l’action très médiatisés dans la région, comme un mandat des États-Unis. Maison Blanche que les agences fédérales respectent une série d’exigences de sécurité zéro confiance d’ici 2024.

Pourtant, l’étude semble suggérer que la sécurité zéro confiance pourrait être rejetée par certains comme un mot à la mode ou un principe élégant.

Par exemple, la majorité (53 %) des participants qui ne prévoient pas d’adopter absolument aucune confiance ont déclaré qu’ils pensaient que le terme était « presque marketing ». Pourtant, bon nombre de ces mêmes participants soulignent que les capacités de ZTNA sont importantes pour sécuriser les ressources cloud. Ceci, Sivasankaran l’a gardé à l’esprit, indique une confusion autour de ce que « pas de confiance » suggère réellement.

Dans sa définition la plus simple, absolument aucune confiance ne protège les entreprises en supprimant la confiance implicite et en vérifiant constamment chaque étape de l’interaction numérique. Cela utilise les réseaux, les personnes, les appareils, les charges de travail et les informations, a expliqué Sivasankaran.

Il a identifié les idées cruciales de la confiance zéro comme étant l’accès sécurisé à ;, l’identité centrée et l’accès le moins privilégié à des conceptions qui n’accordent l’accès qu’à ce dont les utilisateurs ont vraiment besoin.

Du point de vue du réseau, cela suggère :

• Évaluer l’identité plutôt que simplement les adresses IP.
• Ajustement dynamique des droits et privilèges en temps quasi réel.
• Séparer les systèmes cruciaux avec une « microsegmentation fine ».

D’un point de vue individuel, cela indique :

• Vérifier identité basée sur le contexte de l’utilisateur, la posture de sécurité du gadget et l’exposition directe aux menaces.
• Autoriser simplement l’accès aux ressources approuvées pour réduire la surface d’attaque.
• Améliorer l’intégration.
• Rationalisation de la gestion des politiques et réduction de la complexité pour les administrateurs.

Du point de vue du gadget :

• Utilisation de la posture de sécurité des appareils comme exigences pour l’accès.
• Maintenir isolés les gadgets sans pilote et difficiles à patcher.
• Amélioration de l’accès sécurisé aux informations de protection des terminaux.
• Privilèges changeant dynamiquement en fonction du niveau de danger.

Du point de vue de la charge de travail :

• Prévenir les mouvements latéraux avec le principe du moindre avantage.
• Automatiser la sécurité pour évoluer avec des charges de travail élastiques.
• Déploiement de l’authentification multifacteur sur les anciennes applications sans refactorisation.
• Utiliser les métadonnées disponibles pour approuver dynamiquement les droits/le provisionnement automatique ou le déprovisionnement de l’accès.
• Atténuation de la perte d’informations grâce à l’application de politiques et à la séparation des appareils.
• Établissement de logiciels de pare-feu locaux et bidirectionnels qui répartissent les informations critiques dans n’importe quel environnement informatique.
• Établir des politiques granulaires pour gérer l’accès et le trafic entrant et sortant.
• Segmentation des données via des micropérimètres.

En fin de compte, a déclaré Sivasankaran, « le secret pour les clients est de se concentrer sur la confiance zéro en tant que structure, principe ; pas en tant que produit. »

C’est important , a-t-il ajouté, pour assister à l’accès à distance, l’accès à l’entreprise, l’accès au cloud et l’accès à l’IoT. « Vous souhaitez vous assurer que les consommateurs et les entreprises ont accès aux meilleures données afin qu’ils puissent prendre des décisions rapides. »

La confiance zéro bien faite

Comme l’a dit Sivasankaran, n’adopter absolument aucune confiance n’aide pas simplement les entreprises à protéger leurs environnements de cloud hybride, cela rend vraiment possible – et même accélère- – les efforts de changement de cloud.

Les participants à l’enquête ont reconnu les principaux avantages de l’adoption de ZTNA :

• Amélioration de l’efficacité de l’équipe de sécurité informatique (65 %)
• Une authentification plus puissante à l’aide Identité et posture face aux menaces (61 %)
• Amélioration de la productivité pour les développeurs (58 %)
• Meilleure présence sur le réseau et capacités d’automatisation (58 %)

« Lorsqu’elle est bien faite, aucune confiance ne peut générer une efficacité et une innovation significatives dans l’ensemble de la communauté informatique pour les aspects sécurité et service d’une entreprise », a déclaré Sivasankaran, « plutôt que d’être simplement un outil de sécurité complémentaire ».

Dr. Larry Ponemon, président et fondateur du Ponemon Institute, est d’accord et décrit les entreprises comme étant à la croisée des chemins : elles comprennent que les options de sécurité héritées « ne suffisent pas dans le cloud », mais elles ont également des exigences croissantes lorsqu’il s’agit d’atténuer les dangers.

« Aucune confiance ne peut aider à résoudre de tels défis », a-t-il déclaré, « tout en offrant des avantages au-delà de la sécurité du cloud, en particulier en termes d’efficacité et de performances accrues pour les groupes informatiques et les utilisateurs finaux. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur