Les approches traditionnelles de la cybersécurité ne fonctionnent plus, et voici pourquoi.
Nous vivons dans un monde de maisons intelligentes et de travail à distance, un monde de chaînes d’approvisionnement numériques tentaculaires et d’écosystèmes de partenaires complexes. Les contrôles de sécurité traditionnels ont été créés à une autre époque pour un autre monde. Il s’agit de systèmes archaïques, fondés sur la confiance et reposant sur un périmètre de sécurité qui n’existe plus.
La confiance zéro est apparue comme la pierre angulaire de ce nouveau monde, un remplacement convenable des anciennes méthodes de sécurité des réseaux. Malheureusement, comme c’est souvent le cas avec les concepts et les idées tendances, les mythes et les idées fausses ne manquent pas.
L’une des plus répandues est l’idée que la confiance zéro est une sorte de solution miracle, la réponse à tous vos défis en matière de cybersécurité.
Pour mieux comprendre pourquoi ce n’est pas le cas, il est important de connaître les origines de la confiance zéro, ainsi que ses faiblesses.
Laisser le périmètre dans le passé
La cybersécurité traditionnelle repose sur l’existence d’un périmètre de réseau clairement défini. Selon ce modèle de sécurité, une organisation a un contrôle total sur tout ce qui se trouve à l’intérieur de ses murs numériques. Ceux qui se trouvent à l’intérieur peuvent accéder aux actifs et aux ressources de l’entreprise, tandis que ceux qui se trouvent à l’extérieur ne le peuvent pas.
Même à ses débuts, cette approche était imparfaite et mal adaptée au télétravail. La prise en charge du personnel à distance nécessitait généralement le déploiement de bureaux virtuels complexes et de réseaux privés virtuels, qui s’accompagnaient tous deux de risques de sécurité et de difficultés d’intégration. Toutefois, à l’époque, le travail à distance était suffisamment rare pour ne pas poser de problème.
Puis le monde a changé.
Cela a commencé avec l’informatique nuagique et les appareils mobiles. Alors qu’il existait auparavant une division claire entre l’interne et l’externe, ces deux technologies interdépendantes ont brouillé les pistes. Les surfaces d’attaque, autrefois statiques et clairement définies, ont commencé à devenir fluctuantes et nébuleuses.
Au milieu de cette évolution, les anciennes méthodes d’accès au réseau à distance ont commencé à montrer leurs limites, tant du point de vue de la sécurité que de l’utilisabilité. Nombre de ces outils traitaient les utilisateurs à distance comme s’ils faisaient partie du réseau de l’entreprise, ouvrant ainsi la porte à toutes sortes de menaces. Pire encore, les anciennes solutions d’accès au réseau souffraient souvent d’un manque d’utilisabilité. Les logiciels désuets n’étaient pas le seul problème. Faire confiance à toutes les entités présentes sur son réseau – sans se soucier de la manière dont elles y accèdent ou de l’endroit d’où elles proviennent – était une recette évidente pour un désastre. Il suffisait d’une seule erreur de jugement de la part d’un fournisseur, d’un vendeur, d’un partenaire ou d’un employé pour qu’une violation se produise.
Il suffisait à un acteur de menace de s’introduire dans le réseau d’une entreprise pour disposer des clés du royaume, au sens figuré du terme.
La pandémie a été le dernier clou dans le cercueil. Alors que les entreprises du monde entier passaient au travail distribué, elles ne pouvaient plus ignorer les lacunes de la sécurité traditionnelle. Elles avaient besoin d’une nouvelle approche.
La confiance zéro, un concept présenté pour la première fois par l’analyste Forrester en 2010, s’est avérée parfaitement adaptée.
Ne faire jamais confiance, vérifier toujours
Les idées fondamentales à la base de la confiance zéro sont relativement simples :
- Une entité sur un réseau, qu’il s’agisse d’un utilisateur, d’un appareil ou d’une application, doit se soumettre à une authentification avant de se voir accorder l’accès.
- L’entreprise doit également valider en permanence qu’une entité est bien celle (ou ce) qu’elle prétend être.
- Les entités ne peuvent se voir accorder l’accès qu’aux ressources dont elles ont absolument besoin, et rien de plus, une approche connue sous le nom de « moindre privilège ».
- Les contrôles d’accès doivent, au minimum, inclure l’authentification à plusieurs facteurs.
- L’accès doit être aussi simplifié que possible sans compromettre la sécurité.
Il est facile de comprendre pourquoi tant de gens considèrent la confiance zéro comme une sorte de billet d’or. À première vue, il s’agit d’un moyen facile et relativement indolore de protéger une organisation contre un paysage de menaces en constante évolution. Mais elle n’est pas parfaite.
Elle n’est pas non plus impénétrable.
Les menaces trouvent toujours un moyen
Les acteurs de la menace ne sont pas aveugles. Ils reconnaissent que la confiance zéro est un obstacle, et ils savent aussi comment le contourner. Après tout, si une porte est verrouillée, on n’essaie pas de l’enfoncer, on cherche plutôt une fenêtre.
Selon l’analyste Gartner, plus de la moitié des cyberattaques des trois prochaines années viseront des domaines que la confiance zéro ne peut ni couvrir ni atténuer. Il s’agit notamment, mais pas exclusivement, des domaines suivants :
- L’ingénierie sociale telle que le phishing ou les attaques de compromission des courriels d’entreprise.
- L’exploitation d’API vulnérables.
- L’exploitation de solutions de contournement non sécurisées pour les employés.
- Les attaques de fatigue MFA, où un attaquant envoie tellement de demandes d’accès à un utilisateur qu’il finit par en approuver une.
- Vol d’informations/de jetons par le biais d’attaques de l’homme du milieu.
- Les robots d’interception de mots de passe à usage unique.
Ne vous y trompez pas, la confiance zéro reste essentielle. Mais ce n’est pas un remède miraculeux. Elle présente des faiblesses et des angles morts.
C’est pourquoi, plutôt que de la considérer comme la solution de la cybersécurité, vous devriez l’utiliser comme elle a été conçue, c’est-à-dire comme l’un des éléments d’une stratégie de sécurité mature.
Couvrir les angles morts de la confiance zéro
Alors, comment votre organisation peut-elle remédier aux faiblesses d’un cadre de confiance zéro ? Que pouvez-vous faire pour couvrir vos bases afin d’être aussi sûr et résilient que possible ?
- Gestion de la surface d’attaque : La connaissance est votre arme la plus puissante contre les cybercriminels. Cela commence par la connaissance de votre écosystème, en vous assurant que vous avez une visibilité totale sur chaque utilisateur, appareil et entité au sein de votre chaîne d’approvisionnement numérique.
- Renseignements sur les menaces : Là encore, la connaissance est le pouvoir. Grâce à des données internes, externes et tierces, vous pouvez obtenir une image plus complète de l’identité de vos adversaires, de ce qu’ils veulent et de la manière de les arrêter. Nous conseillons également de mettre en œuvre un programme de chasse aux menaces parallèlement au renseignement sur les menaces.
- Sécurité des points d’accès : Une plateforme de détection et de réponse au niveau des points finaux ou une plateforme de détection et de réponse étendue devient rapidement non négociable, vous donnant la capacité de stopper les menaces au niveau des points finaux.
- Antimalware : Une solution antivirus non basée sur les signatures est également essentielle, en particulier avec la proéminence croissante des rançongiciels sophistiqués.
- Analyse comportementale : Chacun a ses habitudes et ses tendances en matière d’utilisation de la technologie. Une solution d’analyse comportementale vous permettra d’identifier tout écart par rapport à ces habitudes, ce qui pourrait vous permettre d’atténuer une attaque de manière proactive.
- Formation à la sensibilisation à la sécurité : L’ingénierie sociale repose à parts égales sur l’ignorance et la négligence. L’éducation permet d’aborder ces deux aspects.
Pas une solution miracle, mais quand même un outil important
La confiance zéro n’est pas une solution parfaite, mais elle reste un élément essentiel de toute stratégie de cybersécurité efficace.
La confiance zéro combinée au moindre privilège réduit considérablement les risques. En fin de compte, la réduction des risques ne signifie pas grand-chose si votre organisation est truffée d’autres vulnérabilités.
Souhaitez-vous explorer la confiance zéro pour votre organisation ? Réservez dès aujourd’hui un appel de découverte avec l’équipe de GIA et voyez où vous en êtes.