Pour 92 % des entreprises, la sécurité des identités est essentielle pour un déploiement robuste du Zero Trust

0
264

CyberArk, spécialiste mondial de la sécurité des identités, dévoile les résultats d’une étude internationale consacrée aux tendances liées à l’adoption de la sécurité des identités, ainsi qu’à la maturité relative des entreprises qui ont mis en œuvre une stratégie de ce type. Selon les résultats, seulement 9 % des organisations adoptent une approche agile, holistique et mature pour sécuriser les identités dans leurs environnements hybrides et multicloud. Ce rapport propose un modèle de maturité élaboré pour aider les responsables de la cybersécurité à évaluer leur stratégie de sécurité des identités, à découvrir les risques associés et à prendre les mesures nécessaires pour renforcer leur cyberrésilience.

Pour les experts, la sécurité des identités est un élément clé de la cyberrésilience

Tribune – Publiée sous le titre The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience[1], cette étude a été menée par CyberArk et le cabinet Enterprise Strategy Group (ESG) auprès de 1 500 professionnels de la cybersécurité. À partir des réponses obtenues, le modèle basé sur des données a identifié 9 % des entreprises comme ayant déployé les stratégies de sécurité des identités les plus matures et les plus holistiques. Ces entreprises innovantes se concentrent pleinement sur la mise en œuvre d’outils de sécurité des identités, font preuve d’une agilité intrinsèque et se caractérisent par une approche fondée sur la capacité à se relever rapidement de leurs échecs, même après avoir été victimes d’une cyberattaque.

Toutefois, 42 % des programmes de sécurité des identités mis en place par les entreprises interrogées sont loin d’être matures, et ne disposent pas des outils et des intégrations indispensables pour neutraliser rapidement les risques qui pèsent sur les identités. L’élargissement de la surface d’attaque, la complexité croissante des environnements informatiques et la multiplication des obstacles organisationnels contribuent à cette généralisation des lacunes affichées par les entreprises en matière de sécurité des identités.

Les principaux enseignements de cette étude sont les suivants :

  • Écart entre la stratégie déployée et les résultats obtenus : 69 % des hauts dirigeants (CEO, CFO, CTO, etc.) estiment prendre les bonnes décisions en matière de sécurité des identités, contre 52 % de l’ensemble des effectifs (décideurs techniques et praticiens). Cet écart souligne la perception selon laquelle la sécurité dans son ensemble peut être atteinte en effectuant les bons investissements technologiques. Ce n’est toutefois qu’une partie de l’équation. En effet, il est tout aussi important de maximiser ces investissements sur un plan stratégique en incluant l’implémentation et l’intégration aux environnements existants, ainsi que de supprimer les silos et d’améliorer la formation.
  • Des données hétérogènes sur les terminaux : pour 92 % des personnes interrogées, la sécurité des terminaux, la confiance accordée aux appareils ou la gestion des identités sont des paramètres primordiaux dans le déploiement d’une stratégie Zero Trust robuste, tandis que 65 % estiment que la capacité à corréler les données est essentielle pour assurer avec efficacité la sécurité des terminaux.
  • Des efforts fragmentés : 58 % des entreprises interrogées disposent de deux équipes en charge de la sécurité des identités — sur site et dans le cloud — et utilisent plusieurs solutions indépendantes, ce qui complique la compréhension de leur posture de sécurité en temps réel.

« Cette étude met en lumière la relation entre une solide stratégie de sécurité des identités et l’amélioration des résultats métier, explique Jack Poller, senior analyst chez Enterprise Strategy Group (ESG). Des évaluations de maturité menées à intervalles plus fréquents et plus réguliers permettent aux bonnes personnes d’accéder aux bonnes données, et aider les entreprises à agir avec une vélocité suffisante pour éviter que des menaces n’interrompent leurs activités. »

Un cadre basé sur l’expérience des pairs pour soutenir une stratégie holistique de sécurité des identités

Conçu sur la base des informations fournies par les 1 500 professionnels interrogés, le modèle Holistic Identity Security Maturity permet aux entreprises d’évaluer leur niveau de maturité dans les quatre piliers de la sécurité des identités :

  • L’achat d’outils couvrant la gestion, le contrôle des privilèges, la gouvernance, l’authentification et l’autorisation pour l’ensemble des identités et les différents types d’identité ;
  • Les intégrations à d’autres solutions informatiques et de sécurité au sein de la pile technologique de l’entreprise en vue de sécuriser l’accès à tous ses actifs et environnements ;
  • L’automatisation pour assurer une conformité ininterrompue aux règles, règlementations et standards industriels, ainsi que pour réagir rapidement face aux évènements ordinaires et anormaux de grande ampleur ;
  • Des moyens de détection et de réponse aux menaces en continu basés sur une solide maîtrise du comportement des identités et des règles organisationnelles.

« Si 63 % des entreprises reconnaissent avoir été victimes d’une attaque ciblant les identités, il est probable que ce pourcentage soit nettement plus élevé. En effet, les cybercriminels continuent de viser et d’infecter les identités avec succès sur une grande échelle, ajoute Amita Potnis, Director, Thought Leadership Marketing chez CyberArk. Les entreprises qui souhaitent adopter une stratégie de sécurité des identités holistique doivent se concentrer sur la sécurité de l’accès à l’ensemble des identités — humaines et machines — en éliminant les cloisons et en adoptant une approche automatique et consolidée de la sécurité des identités. Comme l’indique notre étude, de nombreuses entreprises ont d’ores et déjà commencé à investir en ce sens, 24 % d’entre elles s’étant engagées à consacrer cette année plus de 10 % de leur budget cybersécurité à un programme de sécurité des identités. »

Les entreprises « transformatives », qui représentent 9 % de l’ensemble des personnes interrogées, ont atteint le niveau de maturité maximum en adoptant une approche unifiée de la sécurité des identités. La plateforme de sécurité des identités de CyberArk incarne cette approche en appliquant des contrôles intelligents des privilèges à toutes les identités — humaines et machines — grâce à des capacités continues de détection et de prévention  des menaces, d’un bout à l’autre du cycle de vie des identités. Avec CyberArk, les entreprises peuvent mettre en œuvre une approche Zero Trust basée sur le principe du moindre privilège en bénéficiant d’une visibilité complète pour faire en sorte que chaque identité puisse accéder en toute sécurité à n’importe quelle ressource, indépendamment de sa localisation, à tout moment et en tous lieux.

Pour consulter cette étude dans son intégralité, cliquez ici : cyberark.com/resources/analyst-reports/the-holistic-identity-security-maturity-model

Méthodologie de l’enquête

L’Enterprise Strategy Group (ESG) a interrogé 1 500 décideurs IT et Sécurité au cours du troisième trimestre 2022. Toutes les personnes contactées travaillent dans un environnement multi-cloud, et connaissent les stratégies et les moyens de gestion des accès et des identités dont dispose leur entreprise. Elles sont basées en Amérique du Nord (États-Unis et Canada), en Amérique latine (Mexique et Brésil), dans la région EMEA (Israël, Allemagne, Royaume-Uni, Espagne, Italie, Pays-Bas) ainsi qu’en Asie-Pacifique (Australie, Hong Kong, Inde, Japon, Singapour et Taïwan).