Retour 
Alors que nous réfléchissons à la première moitié de 2024, il me semble que les deux caractéristiques déterminantes jusqu'à présent ont été une litanie de cyberattaques importantes contre des entreprises de tous les secteurs, et l'adoption généralisée d'outils d'IA dans le cadre de la recherche d'innovation par les entreprises. Au cœur de cette tempête de cybermenaces se trouve le RSSI, qui cherche à guider son entreprise en toute sécurité à travers les dangers potentiels.
Le mois dernier, Netskope a entrepris une étude sur la façon dont les RSSI perçoivent leur rôle et sur la manière dont ils abordent ces défis.
Pourquoi les RSSI aiment la confiance zéro
Alors que les entreprises sont de plus en plus numérisées, notre étude a montré que les RSSI modernes veulent devenir des facilitateurs et des catalyseurs plutôt que de simples protecteurs ; ils veulent donner à leurs entreprises l'agilité nécessaire pour s'adapter et innover tout en restant en sécurité.
Les RSSI sont déjà très favorables aux principes de la confiance zéro. Une majorité d'entre eux reconnaissent que la confiance zéro permet aux entreprises d'avancer plus rapidement (59 %), d'encourager l'innovation (58 %), d'accroître la flexibilité (58 %) et d'améliorer la prise de décision (55 %). De même, 55 % des RSSI estiment qu'une approche fondée sur la confiance zéro leur permet de mieux concilier des priorités contradictoires.
Pour ce qui est de l'avenir, les RSSI vont jusqu'à dire que l'adoption d'une approche de confiance zéro est le facteur le plus important qui permettra aux entreprises de devenir plus ouvertes et plus flexibles au cours des deux prochaines années.
Expliquer le paradoxe au cœur de la confiance zéro
Les RSSI savent bien qu'aucun modèle de sécurité n'est à lui seul une solution miracle, et la confiance zéro n'est pas différente. Mais il est clair que les attentes des RSSI à l'égard de la confiance zéro sont toujours positives - et cela se propage à leurs collègues de la direction, qui ont de grands espoirs quant à l'impact potentiel de la confiance zéro.
Hélas, la philosophie de la confiance zéro ne semble pas être bien comprise par l'ensemble des dirigeants d'entreprise, même si le terme leur est familier. Si 58 % des RSSI indiquent que leur équipe dirigeante leur demande d'adopter une approche de confiance zéro, ils sont presque aussi nombreux (51 %) à déclarer que leur équipe dirigeante ou leur conseil d'administration ne comprend pas vraiment ce que cela signifie. La confiance zéro est simple à visualiser, mais elle est plus nuancée dans son exécution. Les concepts de confiance zéro (et de friction zéro) ne sont importants que pour ce qu'ils apportent, à savoir la réduction des risques et l'habilitation des entreprises.
Si l'approche "zéro confiance" semble rigide en théorie, elle permet paradoxalement aux entreprises d'être plus agiles en pratique, ce qui explique peut-être son attrait considérable. Les principes de confiance zéro introduisent davantage de contrôles et réduisent l'accès au réseau et aux applications de l'entreprise. De manière contre-intuitive, au lieu d'ajouter des frictions et de ralentir l'entreprise, les principes augmentent en fait la flexibilité et la rapidité. L'élaboration de politiques autour d'un large éventail de signaux contextuels permet un contrôle granulaire, ce qui permet de trouver le bon équilibre entre la sécurité et l'accomplissement du travail, et d'améliorer la confiance dans la prise de décision - des priorités essentielles pour les chefs d'entreprise dans le monde en évolution rapide d'aujourd'hui.
En d'autres termes, le paradoxe de la confiance zéro est que l'environnement le plus fermé crée l'entreprise la plus ouverte, la plus agile et la plus innovante.
Mise en œuvre de la confiance zéro
L'enthousiasme pour le modèle de confiance zéro peut parfois prendre le pas sur ce que la plupart des professionnels de la sécurité et leurs entreprises font dans la pratique. Notre étude a révélé que moins de la moitié des personnes interrogées dans le monde (44 %) opèrent aujourd'hui selon les principes de la confiance zéro, même si 38 % d'entre elles déclarent qu'elles prévoient d'adopter bientôt ce principe. Une stratégie de confiance zéro nécessite des outils qui fournissent des signaux et un contexte permettant d'obtenir la visibilité et le contrôle granulaires nécessaires à l'élaboration de politiques permettant aux bonnes personnes d'accéder aux bonnes ressources, au bon moment et pour les bonnes raisons. Il est impossible d'offrir en toute sécurité la véritable valeur de la confiance zéro si vous continuez à utiliser des technologies ou des stratégies héritées du passé.
Lorsque les RSSI sont interrogés par leurs collègues C-suites sur la confiance zéro, ils doivent se souvenir de leur objectif : être des facilitateurs pour les entreprises. Ils doivent faire en sorte que le débat sur la confiance zéro ne soit plus une discussion tactique sur des outils et des politiques spécifiques, mais devienne une discussion stratégique sur la position de leur entreprise en matière de sécurité. Avec cette image stratégique plus large en place et l'adhésion de l'ensemble de la suite C, un RSSI bien informé peut mener la conversation sur la façon dont cette posture peut faciliter les opérations commerciales.
La confiance est source de croissance
La confiance zéro est la dernière d'une longue série d'expressions à la mode dans le domaine de l'infosécurité et, comme beaucoup d'autres avant elle, elle s'est imposée parmi les parties prenantes de haut niveau non techniques qui sont conscientes de la nécessité de la sécurité, mais ne savent pas comment y parvenir. C'est l'occasion pour les RSSI d'utiliser cet intérêt comme tremplin pour participer à des conversations de haut niveau sur la croissance de l'entreprise.
Les RSSI qui peuvent répondre aux questions suivantes : "Comment pouvons-nous mettre en œuvre ce projet en toute sécurité ?". et définissent comment ils aident leurs pairs à acquérir de nouveaux revenus, à réaliser des gains d'efficacité et à se conformer aux exigences réglementaires, seront reconnus comme des contributeurs de valeur au plus haut niveau.
Pour obtenir des informations plus concrètes afin de dissiper les mythes qui entourent la mise en œuvre de la confiance zéro, inscrivez-vous à mon prochain webinaire intitulé Zero Trust : Perceptions, adoption, ambitions et approche le 28 août.
Lire le blog