Sécurité Zero Trust

Avec l’approche Zero Trust, les organisations ne doivent pas faire automatiquement confiance aux utilisateurs ou appareils qui tentent d’accéder à leur réseau, leurs machines, leurs adresses IP, etc. Elles doivent plutôt considérer tous les utilisateurs et tous les appareils comme une menace et vérifier leur niveau d’accès avant de leur accorder éventuellement un accès.

L’approche Zero Trust s’appuie sur quatre principes clés pour sécuriser l’environnement informatique de l’entreprise :

1. Ne jamais faire confiance, toujours vérifier

L’idée de ne « jamais faire confiance, toujours vérifier » implique que vous ne devez jamais croire que les utilisateurs sont ceux qu’ils prétendent être. À la place, vous devez toujours vérifier leur identité et leur niveau d’accès. Ce faisant, vous augmentez les chances de pouvoir arrêter un cybercriminel ou un programme malveillant avant qu’ils n’accèdent aux informations sensibles de l’organisation ou ne provoquent d’autres dommages.

2. Les menaces proviennent de l’intérieur comme de l’extérieur

La sécurité informatique traditionnelle se concentre sur la protection de l’organisation contre les menaces externes pesant sur le réseau, les applications ou les appareils. Elle part du principe que les utilisateurs internes sont « sûrs » et les considère donc rarement comme des sources de menace.

De récentes enquêtes démontrent que cette considération est inadéquate, voire franchement dangereuse. De fait, entre 2018 et 2020, le nombre d’incidents internes a augmenté de 47 %, prouvant ainsi que le risque provenant des menaces internes est également sérieux et en hausse. C’est pourquoi vous devez également reconnaître et traiter les menaces internes. Et c’est précisément ce que fait l’approche Zero Trust.

3. Utiliser la microsegmentation

La microsegmentation est une méthode permettant de créer des segments réseau ou des « micropérimètres » autour d’actifs spécifiques. La surface d’attaque s’en trouve réduite et permet aux équipes en charge de la sécurité informatique de l’entreprise d’implémenter des contrôles de stratégie granulaires. L’objectif est de restreindre le mouvement latéral des pirates et donc de protéger l’organisation des violations.

4. Principe du moindre privilège (PoLP)

Selon le « principe du moindre privilège » ou PoLP, les utilisateurs, appareils, charges de travail ou processus reçoivent uniquement le strict minimum de privilèges dont ils ont besoin pour effectuer leurs tâches. Les actifs de l’entreprise sont ainsi protégés contre les utilisateurs non autorisés, qu’ils soient internes ou externes.

Entre le premier et le deuxième trimestre 2021, le nombre de violations de données a augmenté de 38 %. En 2021, le coût moyen d’une violation de données s’élevait à 4,24 millions de dollars, contre 3,86 millions de dollars en 2020. En outre, d’ici 2025, les dommages dus à la cybercriminalité devraient dépasser 10,5 milliards de dollars. Pour gérer de telles menaces, les investissements en matière de sécurité informatique ont augmenté. Pourtant, 78 % des responsables de la sécurité informatique pensent que leurs organisations ne sont pas suffisamment protégées contre les cyberattaques. Pour relever ce défi, nombre d’entreprises adoptent le modèle de sécurité Zero Trust.

Le modèle de confiance traditionnel part du principe que tous les éléments situés dans un réseau d’entreprise sont fiables. La sécurité Zero Trust est radicalement différente. Elle reconnaît que « confiance » équivaut à « vulnérabilité ». Pour protéger le réseau de votre organisation des personnes malveillantes, vous devez éliminer complètement cette vulnérabilité. Et c’est pourquoi vous avez besoin de la sécurité Zero Trust.

Selon le National Institute of Standards and Technology (NIST), l’architecture Zero Trust est une architecture de cybersécurité d’entreprise basée sur des principes Zero Trust, conçue pour prévenir les violations de données et limiter tout mouvement latéral interne.

L’architecture Zero Trust vise à renforcer la cybersécurité d’une organisation et à protéger ses actifs contre les menaces. Elle reconnaît que les menaces existent aussi bien à l’intérieur qu’à l’extérieur du périmètre du réseau traditionnel et part du principe que les violations de sécurité sont inévitables. Plus important, elle permet aux utilisateurs d’accéder uniquement à ce dont ils ont besoin pour effectuer leurs tâches. Enfin, elle identifie les activités anormales ou potentiellement malveillantes afin d’empêcher les cyberattaques de se propager dans le réseau.

En mai 2021, le président Joe Biden a signé un décret sur l’amélioration de la cybersécurité nationale. Ce décret présidentiel impose à toutes les agences gouvernementales d’adopter l’architecture Zero Trust de manière planifiée et coordonnée. Des cybercampagnes malveillantes menacent les secteurs publics et privés des États-Unis. Ce décret le reconnaît et encourage les agences et sous-traitants fédéraux à adopter l’architecture Zero Trust afin d’identifier, de détecter et de décourager ces menaces et d’en protéger les systèmes.

Le gouvernement fédéral passe des contrats avec des prestataires de services des technologies de l’information et des technologies opérationnelles pour effectuer plusieurs fonctions quotidiennes sur les systèmes d’information fédéraux. À la suite de ce décret, tous les contrats signés entre le gouvernement et les sous-traitants fédéraux, y compris les fournisseurs de logiciels professionnels standard, incluront probablement de nouvelles pratiques de cybersécurité intégrées, telles que l’architecture Zero Trust. Dans le cadre de ce décret, le NIST publie des directives concernant la sécurité de la chaîne logistique des logiciels. Ces initiatives s’appliquent uniquement aux sous-traitants fédéraux. Toutefois, le secteur privé pourrait également être amené à mettre en place l’architecture Zero Trust et d’autres mesures de sécurité à l’avenir. C’est pourquoi toutes les sociétés doivent prêter attention à ces directives et les utiliser afin d’améliorer leur préparation à la cybersécurité.

Le télétravail est devenu la nouvelle norme pour des milliers d’organisations dans un monde post-COVID. Néanmoins, ce nouveau modèle crée également de sérieux défis en matière de cybersécurité. Les télétravailleurs utilisent souvent des outils de collaboration, des canaux distants et des appareils destinés à un usage privé non sécurisés. Les cybercriminels tirent parti de ces faiblesses pour attaquer les organisations et voler leurs données. Entre février et mai 2020, des pirates ont volé les données personnelles de plus de 500 000 utilisateurs de conférences vidéo et les ont vendues sur le dark web. Depuis le début de la pandémie, les attaques par rançongiciel ont augmenté de près de 500 %. Les attaques par hameçonnage sur le thème de la COVID sont également en hausse. À un certain moment, ces attaques ont bondi de 220 % lors du pic de la pandémie en 2020.

De nombreuses organisations ont implémenté un réseau privé virtuel (VPN). Un VPN permet aux télétravailleurs d’accéder aux données et aux actifs réseau dont ils ont besoin pour effectuer leur travail. Néanmoins, un VPN peut compromettre la cybersécurité d’une société :

• Un VPN ne peut pas protéger complètement les réseaux, données ou collaborateurs d’entreprise des logiciels malveillants, des pirates ou des failles de sécurité.

• Les VPN ne peuvent pas non plus créer ni appliquer des stratégies pour protéger les informations d’identification, par exemple des mots de passe. Si des fournisseurs tiers ont accès à un réseau ou à des données d’une organisation, des pirates peuvent exploiter des protocoles VPN pour provoquer des violations de données.

• Même un télétravailleur compromis utilisant le VPN peut exposer le système à une cyberattaque.

Le risque des cyberattaques est proportionnel au nombre de télétravailleurs utilisant un VPN. Pour réduire ce risque, l’architecture Zero Trust est essentielle.

Avec un VPN, les utilisateurs peuvent généralement accéder à de grandes parties de l’infrastructure de l’entreprise. Avec l’architecture Zero Trust, ils ne peuvent accéder qu’aux actifs et applications dont ils ont besoin pour effectuer leurs tâches. Dans une architecture Zero Trust, les appareils sont constamment surveillés. Seuls, ceux qui sont autorisés peuvent donc accéder au réseau d’entreprise. À titre de mesure de sécurité supplémentaire, toutes les tentatives d’accès effectuées par les utilisateurs et les appareils sont suivies. Ainsi, l’architecture Zero Trust assure une sécurité renforcée et plus fiable qu’un VPN.

L’architecture Zero Trust élimine la notion de confiance. Elle vérifie les identités des utilisateurs à chaque fois, limite les utilisateurs et les appareils qui peuvent accéder aux ressources d’entreprise et crée de plus petites zones au sein d’un réseau plus large. Ces principes sont extrêmement importants, car en cas de violation, vous pouvez réduire la surface d’attaque possible. Vous pouvez également limiter le mouvement latéral au sein du réseau. Cela vous permet d’empêcher la propagation des logiciels malveillants dans le réseau et de limiter l’impact d’une violation des données.

Pour une sécurité complète, vous devez implémenter :

• Un accès réseau Zero Trust

• Un accès aux applications Zero Trust

• Un accès aux données Zero Trust

Les secteurs d’activités, tels que le pétrole et le gaz, les services publics et l’énergie, ont été plus lents à mettre à niveau leur infrastructure de cybersécurité. Ils ont tendance à associer des équipements existants et modernes, ce qui rend leur sécurisation plus difficile. De plus, ils manquent souvent de contrôles de sécurité mis à jour et rigoureux pour protéger les mots de passe, les VPN, etc., et ont du mal à identifier, isoler et traiter efficacement les cybermenaces. Ces lacunes dans les opérations industrielles sont parfaitement illustrées par l’attaque par rançongiciel de Colonial Pipeline. En mai 2021, des pirates ont infiltré le réseau informatique de Colonial Pipeline en utilisant un VPN et un jeu d’informations d’identification volées d’un collaborateur interne de confiance. Une architecture Zero Trust aurait néanmoins pu empêcher cette attaque. C’est pourquoi l’approche Zero Trust est particulièrement essentielle pour ces secteurs.

L’architecture Zero Trust considère l’identité de chaque machine, application et utilisateur comme un périmètre indépendant. Cela permet à ces organisations de sécuriser leurs actifs et d’empêcher la propagation des cyberattaques.

Pour simplifier l’implémentation d’une architecture Zero Trust, les outils suivants sont déterminants :

Authentification unique

L’authentification unique (SSO) permet aux utilisateurs d’accéder à l’ensemble des comptes et applications à l’aide d’un seul jeu d’informations d’identification. Elle renforce la sécurité en éliminant les mots de passe tout en augmentant convivialité et satisfaction des collaborateurs.

Authentification multifacteur

L’authentification multifacteur (MFA) est un outil de gestion des accès et des identités (IAM) essentiel que toutes les organisations doivent utiliser pour protéger leurs actifs informatiques essentiels. Contrairement aux systèmes basés sur les mots de passe, la MFA impose aux utilisateurs d’utiliser des facteurs supplémentaires pour accéder à un compte ou une application. Par exemple, ils peuvent être tenus d’indiquer un code PIN ou des données biométriques en plus d’un nom d’utilisateur et d’un mot de passe. De cette façon, seule la personne autorisée peut accéder aux applications ou aux comptes appropriés.

Dans l’idéal, essayez d’associer la MFA avec l’authentification unique. Dans le cas contraire, vos utilisateurs devront passer par d’autres étapes pour se connecter à un système. Cela peut se révéler pénible et frustrant, en particulier lorsque des utilisateurs doivent se connecter plusieurs fois par jour.

Systèmes de provisioning rapide

Lorsque vous adoptez l’approche Zero Trust, vous avez besoin d’un moyen pour provisionner et déprovisionner rapidement des utilisateurs. Si vous implémentez l’accès avec le principe du moindre privilège, vous devrez peut-être faire des exceptions régulièrement. Si votre système de provisioning actuel est chronophage, les choses vont seulement devenir plus complexes lorsque vous adopterez l’approche Zero Trust. Pour une architecture Zero Trust simplifiée, veillez à implémenter un système de provisioning rapide.

Protection des appareils

Tout appareil utilisateur ou « terminal » est à la fois le point central d’une attaque et sa première ligne de défense. Par conséquent, recherchez toujours des outils de protection des appareils protégeant et surveillant les appareils afin de pouvoir contrer le danger à la source.

Contrôle des accès adaptatif

Le contrôle des accès adaptatif surveille en continu les comportements des utilisateurs et met à jour les privilèges d’accès en temps réel. Il implémente également l’analyse du comportement des utilisateurs et des entités pour évaluer les risques des utilisateurs en fonction de leur activité. Via une évaluation continue de la confiance, le contrôle des accès adaptatif ajuste le niveau de confiance des utilisateurs afin de modifier leur accès et donc de diminuer les risques.

Plateforme d’évaluations de la sécurité

Avec une plateforme d’évaluations de la sécurité, vous pouvez analyser en permanence votre environnement pour y rechercher de nouveaux risques. La plateforme et son système de notation fournissent une visibilité sur tous les points d’accès et créent une image plus complète des risques. Elle génère également des alertes hiérarchisées avec des suggestions de correction afin que votre équipe en charge de la sécurité puisse prendre les mesures immédiates pour améliorer la politique de sécurité de l’organisation.

Security Information and Event Management

SIEM (Security Information and Event Management) doit être une partie essentielle de votre stratégie Zero Trust. Une plateforme SIEM regroupe plusieurs alertes et sources de données provenant de toute l’infrastructure informatique de l’entreprise. Elle analyse cette activité afin d’identifier les comportements suspects et génère également des notifications automatiques d’événements de sécurité.

Security Orchestration, Automation, and Response

Comme SIEM, la fonctionnalité SOAR (Security Orchestration, Automation, and Response) vous permet de collecter des données sur les menaces de sécurité. De plus, elle examine les menaces et automatise la réponse aux incidents et les mesures correctives. Grâce à ses capacités d’automatisation, SOAR peut réduire le temps nécessaire à la qualification et à l’examen des menaces, ainsi que le temps moyen de réparation (MTTR), une « métrique d’échec » qui indique le temps moyen nécessaire pour réparer et rétablir les fonctionnalités d’un système après la détection d’une défaillance.

Comme les cyberattaques contre les organisations sont de plus en plus courantes, la vision traditionnelle de la sécurité des réseaux, « faire confiance, mais vérifier », n’est plus appropriée. Les équipes en charge de la sécurité doivent savoir que le fait de faire implicitement confiance aux utilisateurs et aux terminaux expose leur organisation aux risques de pirates, d’utilisateurs non autorisés, de collaborateurs internes négligents et de comptes compromis.

Un modèle Zero Trust est essentiel pour sécuriser l’organisation. L’approche « ne jamais faire confiance, toujours vérifier » et ses principes du moindre privilège renforcent la protection contre les cybermenaces croissantes. Avec l’approche Zero Trust, les organisations peuvent mettre en place un meilleur contrôle d’accès, protéger leurs actifs, contenir les violations et réduire les dommages potentiels.