5 juillet 2022
Par Anthony Frum - Spécialiste produit, Skyhigh Security
Il y a quelques semaines, Skyhigh Security a participé au Gartner's Security & Risk Management Summit au magnifique Gaylord National Resort & Convention Center à National Harbor, MD. Plus de 2 500 leaders et professionnels techniques de l'industrie de la sécurité, dont de nombreux RSSI, se sont réunis pour apprendre, partager et collaborer sur les dernières tendances en matière de sécurité lors de cet événement crucial. Les analystes de Gartner et les fournisseurs de solutions de sécurité présents ont organisé plus de 175 sessions réparties en huit thèmes, dont la sécurité des infrastructures, la sécurité des applications et des données, la dynamique du marché concurrentiel de la sécurité et les leaders du marché des produits, ainsi que le cercle des RSSI. Avec un tel éventail de sujets, de fournisseurs et de participants, il y avait beaucoup à digérer, mais plusieurs tendances clés se sont rapidement dégagées.
Le thème le plus omniprésent a sans doute été, sans surprise, celui de la confiance zéro. Tous les aspects de la posture de sécurité d'une organisation sont soumis à ce changement de paradigme dans la manière dont nous abordons la sécurité. Le passage à la confiance zéro bat son plein depuis quelques années, mais il bénéficie d'un regain d'intérêt dans le sillage du décret du président Biden sur l'amélioration de la cybersécurité de la nation. Le nouveau monde du travail à domicile fait de la posture et de l'identité des appareils des préoccupations majeures pour tout le monde. Les organisations cherchent de nouveaux moyens de garantir la sécurité de l'identité et de s'assurer que seuls les appareils correctement sécurisés sont autorisés à accéder aux ressources et aux données critiques. Cette question a fait l'objet d'un certain nombre de sessions lors de la conférence, mais elle a également été clairement mise en évidence par la présence des fournisseurs dans la vitrine d'exposition. Un rapide coup d'œil sur les stands de l'exposition a montré que la gestion des identités et des accès (IAM) et l'évaluation de la posture des appareils étaient des défis majeurs que le marché de la sécurité tente de relever aujourd'hui. Dans de nombreuses sessions, la fiabilité de l'authentification multifactorielle traditionnelle (MFA) a été remise en question et de nouvelles méthodologies sans mot de passe ont été discutées. Pour soutenir le travail à partir d'appareils personnels, des technologies telles que remote browser isolation (RBI) et les clients éphémères peuvent être utilisées pour isoler les ressources de l'entreprise des appareils non fiables tout en continuant à permettre les fonctions professionnelles. Il ne s'agit là que de quelques exemples de l'élan très apparent du marché de la sécurité pour répondre à la nécessité de mettre en œuvre la confiance zéro de manière généralisée.
Alors que la solution traditionnelle data loss prevention (DLP) pourrait être considérée comme "ancienne", il est apparu clairement lors de la conférence que la sécurité des données suscite aujourd'hui un regain d'intérêt. Ce regain d'intérêt s'explique en partie par le passage au cloud, qui introduit de nouveaux risques pour les données sous la forme de partage, de collaboration et d'accès non géré aux appareils. Cependant, les législations sur la confidentialité des données, telles que le GDPR et le CCPA, sont également des facteurs importants. Un analyste de Gartner a prédit que "d'ici à la fin de 2023, 75 % de la population mondiale verra ses données personnelles couvertes par des réglementations modernes en matière de protection de la vie privée, contre 25 % aujourd'hui". L'impact du GDPR sur l'industrie de la sécurité ne peut pas être facilement surestimé, et des politiques similaires appliquées dans la majorité du monde imposeront un fardeau supplémentaire aux organisations de sécurité qui auront besoin de nouveaux outils et de nouvelles capacités pour adhérer à ces réglementations cruciales. Cela met l'accent sur les technologies de sécurité des données orientées vers le nuage, telles que les courtiers de sécurité d'accès au nuage (CASB) et un ensemble de technologies potentiellement émergentes appelé gestion de la posture de sécurité des données (DSPM) qui comprend des éléments de la gestion de la posture de sécurité du nuage (CSPM), de la sécurité des bases de données, de la surveillance de l'activité de la base de données (DAM) et du CASB. Ces nouvelles capacités, combinées à la DLP traditionnelle, pourraient aider les organisations à se conformer avec succès à une vague de nouvelles réglementations en matière de confidentialité des données.
Un sujet brûlant lié à la sécurité des données a été le nouveau marché Security Service Edge (SSE) que Gartner a défini l'année dernière comme un composant de Secure Access Service Edge (SASE). Le SASE a été défini par Gartner en 2019 comme une convergence des technologies de réseau et de sécurité, et maintenant ils ont défini les composants de sécurité du SASE comme SSE. Le SSE repose sur trois piliers - cloud access security broker (CASB), secure web gateway (SWG) et l'accès au réseau de confiance zéro (ZTNA). Les technologies tangentielles telles que le pare-feu en tant que service (FWaaS) et la surveillance de l'expérience numérique (DEM) sont vaguement incluses dans cette nouvelle définition de marché de Gartner. Plusieurs sessions sur l'ESS ont été très suivies, car la conférence de cette année était la première occasion pour de nombreuses personnes d'être exposées à cette nouvelle idée. Charlie Winckless et Dennis Xu, analystes chez Gartner, ont animé chacun une session expliquant le nouveau marché de l'ESS, les technologies qui le composent et l'avenir du marché tel qu'ils le voient. Charlie Winckless a présenté les résultats de la dernière étude Gartner Magic Quadrant , dans laquelle Skyhigh Security a été désigné comme l'un des trois leaders du secteur. Il a également évoqué la récente étude Critical Capabilities pour Security Service Edge , dans laquelle Skyhigh Security a obtenu les meilleures notes dans les quatre domaines évalués. Dennis Xu a mis l'accent sur la valeur de la consolidation de ces technologies par rapport à une approche "maillée" intégrant ces technologies provenant de différents fournisseurs. Il a également évoqué l'option la plus courante d'une approche de SASE à deux fournisseurs, dans laquelle la solution SD-WAN s'intègre à une solution SSE consolidée d'un fournisseur distinct, par opposition à l'approche à un fournisseur, dans laquelle SD-WAN et SSE sont achetés auprès du même fournisseur.
Les deux sessions concernant le nouveau marché de l'ESS ont été les précurseurs de l'épreuve de force de Gartner pour l'ESS, au cours de laquelle Skyhigh Security et cinq autres fournisseurs ont présenté une démonstration de 12 minutes des capacités de leur solution. Gartner a défini un ensemble de quatre cas d'utilisation clés pour chaque fournisseur, notamment la protection des appareils gérés accédant au web public, la protection des données sensibles dans les applications en nuage sanctionnées, l'accès sécurisé aux applications privées et la protection unifiée des données. En tant que spécialiste produit de Skyhigh, j'ai fait la première présentation, suivie par les concurrents Netskope et Zscaler. Vous pouvez consulter ma démo ici. Une deuxième session comprenait des présentations des fournisseurs iboss, Lookout et Palo Alto Networks. L'assistance était nombreuse à toutes ces sessions, car le marché est clairement intéressé par les promesses de l'ESS pour répondre aux défis actuels en matière de sécurité du cloud, de sécurité des données et de travail à domicile. À l'issue des présentations de chaque session, les fournisseurs ont répondu aux questions de l'auditoire, qui portaient aussi bien sur les délais de déploiement que sur la robustesse de leurs infrastructures en nuage. Les sessions ont été extrêmement instructives pour toutes les personnes impliquées.
La conférence Gartner sur la gestion de la sécurité et des risques a été une expérience fantastique où des tonnes d'idées nouvelles, de capacités, d'expériences et de leçons apprises ont été partagées entre certains des meilleurs esprits dans le domaine de la sécurité. Skyhigh Security était fier d'être reconnu comme un leader sur le nouveau marché de l'ESS et de montrer nos dernières capacités dans le Show Floor Showdown. Si vous n'avez pas pu être présent cette année, nous vous recommandons vivement de réserver du temps sur votre calendrier en 2023 !
Retour à Blogs