zero trust

Zero Trust et IA : le rapport de confiance 2025 de DXC Technology et Microsoft

ParSteven de Simseo

La transformation numérique a dissous les périmètres de sécurité traditionnels. Avec les infrastructures hybrides, les services cloud et le travail à distance, le risque n'est plus un événement mais une condition constante.
Le nouveau Rapport de confiance par DXC Technology et Microsoft, à partir d'entretiens avec 105 experts en cybersécurité sur quatre continents, montre comment l'adoption du modèle Zero Trust est devenue une réponse structurelle à l'augmentation des attaques et à la complexité croissante des réseaux mondiaux.

Le rapport dresse un tableau alarmant : rien qu'en 2024, les attaques de ransomware dans le secteur manufacturier ont augmenté de 87 %, celles contre les technologies opérationnelles de 60 % et 21 % des attaques mondiales ont touché les soins de santé et l'administration publique. Ces secteurs, souvent basés sur des systèmes existants, peinent à appliquer une segmentation efficace et une vérification continue, principes fondateurs du Zero Trust.

Dans ce contexte, la sécurité devient un facteur de compétitivité : un accident grave peut compromettre des chaînes d'approvisionnement entières ou conduire une entreprise à l'insolvabilité. « Le Zero Trust doit devenir la norme », observe l’un des chercheurs interrogés.

Les raisons d’adopter : du cloud à la gouvernance

Le modèle Zero Trust est né d’un changement de perspective : il n’y a pas de frontière sécurisée, chaque utilisateur et chaque appareil doit être vérifié en permanence. Selon Michael Baker, RSSI mondial chez DXC, « Zero Trust est une stratégie holistique qui vous aide à évaluer l'ensemble de votre programme de sécurité et à prioriser les actions sur les identités, les appareils, le réseau, les applications et les données. »

Parmi les principaux facteurs identifiés par l’étude figurent :

  • Migration vers le cloud, qui élargit la surface d'attaque et impose des contrôles distribués ;
  • Le travail hybride, qui a poussé 65 % des organisations à accélérer ou initier leur stratégie Zero Trust ;
  • Pressions réglementaires et de conformité, de plus en plus strictes dans les secteurs réglementés ;
  • Les réorganisations et fusions d'entreprises, qui nécessitent l'intégration de politiques hétérogènes ;
  • Un leadership sensible à la sécurité, capable de promouvoir le modèle jusqu'aux plus hauts niveaux de décision.

Dans les secteurs non réglementés, environ 60 % des entreprises ont modernisé le réseau avant d'adopter le Zero Trust, tandis que les secteurs financier et public ont tendance à l'intégrer dans les infrastructures existantes.

L'identité comme nouveau périmètre

À mesure que le cloud s’étend et que les frontières physiques disparaissent, l’identité est devenue le nouveau périmètre de défense. En fait, 85 % des violations se produisent dans le domaine de l’authentification et de la vérification.
72 % des entreprises qui utilisent une plateforme de gestion centralisée des identités (CIM) maintiennent une stratégie Zero Trust continue, contre 50 % des entreprises qui n'en ont pas. Dans les secteurs de la santé, la pénétration est la plus élevée (81 %), en raison de la nécessité de gérer des données sensibles et d’exigences de conformité rigoureuses.

Selon Drew Morefield, vice-président et responsable mondial de la sécurité chez DXC, « l'identité est le levier essentiel, le véritable fondement architectural du parcours Zero Trust ».
Mais sa gestion n’est pas simple : le manque de rôles standardisés et la multiplication des exceptions rendent complexe l’autorisation basée sur les rôles.

Le manque de compétences et la complexité des partenaires

Le Rapport de confiance identifie le déficit de compétences comme le principal obstacle à l’adoption du modèle. 47 % des organisations déclarent ne pas bien comprendre les meilleures pratiques Zero Trust, 46 % ont du mal à élaborer une analyse de rentabilisation pour de nouveaux investissements et seulement 30 % connaissent les technologies disponibles.

Selon Vaughan, « même les SOC internes disposent rarement de ressources pour la R&D : de nombreuses équipes gèrent simplement les outils, sans vraiment évaluer leur efficacité et leur intégration ».
La conséquence est un écosystème de solutions fragmentées : plus de la moitié des entreprises admettent avoir augmenté le nombre de fournisseurs de sécurité depuis l’introduction du Zero Trust, rendant la gouvernance plus complexe et plus coûteuse.

L’obstacle des systèmes existants

Le principal frein technique est représenté par les systèmes existants. 70 % des managers britanniques interrogés les citent comme problème principal, tandis qu'en Australie, c'est la difficulté de gérer les politiques qui prévaut.
Ces infrastructures ne supportent pas toujours les protocoles modernes et connaissent souvent des ralentissements : un quart des entreprises déclarent que l'ajout de nouvelles couches de sécurité a réduit les performances opérationnelles.

Morefield compare la micro-segmentation à un sous-marin divisé en compartiments étanches : « si une section est inondée, le reste reste intact ». C'est l'approche progressive qui permet d'isoler les risques sans avoir à tout remplacer.

Techniques de vérification et rôle de l’IA

Authentification multifacteur (MFA) reste la mesure la plus adoptée pour intégrer les systèmes existants, suivie par la gouvernance des identités (61 %) et le contrôle d'accès basé sur les rôles (60 %).
Les solutions plus avancées, telles que la vérification comportementale basée sur l’IA, ne sont pas encore largement répandues. Les raisons : complexité technique, problèmes de confidentialité et manque d’expertise.

Cependant, la direction est fixée. « En 2025 et au-delà, nous devrons intégrer l'IA dans chacun des cinq piliers du Zero Trust : identité, appareils, réseau, applications et données », explique Baker.
Les attaques basées sur l’IA, comme les malwares polymorphes capables de se modifier en fonction des vulnérabilités détectées, poussent les entreprises à développer des stratégies de sécurité prédictives.
L’IA peut améliorer l’analyse comportementale, améliorer la détection des anomalies et automatiser la réponse aux incidents. Mais la maturité reste faible : seules 30 % des entreprises l’utilisent activement.

Sécurité et expérience utilisateur : équilibre possible

Le modèle Zero Trust est souvent perçu comme rigide et intrusif. 69 % des managers considèrent les tests continus comme une source de frustration pour les utilisateurs et les administrateurs, tandis que 57 % craignent un impact négatif sur la productivité.
Les entreprises les plus avancées introduisent des contrôles transparents et contextuels qui ne sont activés qu'en présence de risques anormaux ou de changements de privilèges.

Comme l'explique Baker, « nous avons rendu la sécurité invisible, permettant ainsi aux gens de travailler sans interruption ».
Une approche également partagée par Miles Davis, senior manager de DXC : « la sécurité et la productivité ne sont pas opposées. Si elle est bien appliquée, la sécurité permet, pas ne gêne ».

Les résultats : moins d’accidents, plus de confiance

Les chiffres parlent d'eux-mêmes : 83 % des entreprises ayant adopté le Zero Trust ont réduit le nombre d'incidents et par conséquent les coûts de support et d'atténuation.
19 % des personnes interrogées ont signalé une amélioration inattendue de l'expérience utilisateur et une simplification des procédures de conformité et d'audit.

L'augmentation des menaces et la démonstration du ROI sont aujourd'hui les deux principaux leviers pour obtenir de nouveaux investissements : 19% des entreprises ont reçu un budget supplémentaire après un incident majeur, tandis que 17% l'ont obtenu grâce à des mesures d'efficacité claires.

Un voyage sans fin

Zero Trust n'est pas un projet figé mais un processus évolutif. Les menaces évoluent, les technologies se mettent à jour et les cultures d’entreprise mûrissent lentement.
Vaughan le résume ainsi : « ne visez pas 100 %, vous seriez bloqué. L'objectif est de couvrir 80 % des défis et de rester agile, car quelque chose de nouveau – venant peut-être de l'IA – va encore changer la donne.

Le message final du rapport est clair : la sécurité n’est plus un mur, mais une pratique vivante. Nous avons besoin d'une gouvernance continue, d'une collaboration entre l'informatique, la direction et les partenaires, ainsi que d'un investissement culturel qui fasse de la confiance une valeur à construire et non assumée.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.