En Europe, le modèle Zero Trust est passé du concept à la réalité pour de nombreuses entreprises au cours de l’année 2020, puis s’est accéléré en 2021. Le COVID-19 a précipité la disparition des modèles de sécurité traditionnels dans le but de prévenir les compromissions de données et pour atténuer le risque d’attaques de la supply chain. Dans ce contexte, alors que les organisations s’efforcent de protéger les données et les infrastructures à l’ère du cloud et du travail à distance, l’authentification forte devrait être au cœur de ces modèles Zero Trust.
Le modèle Zero Trust repose sur le principe selon lequel les organisations doivent fréquemment rétablir la confiance avec les utilisateurs et les appareils qui tentent d’accéder à l’information. C’est une rupture majeure avec le modèle de protection périmétrique dans lequel il est réputé difficile d’accéder de l’extérieur, mais dont tous les membres à l’intérieur sont implicitement dignes de confiance. Cette approche traditionnelle de la sécurité des réseaux informatiques contribue à la fréquence et à l’impact des événements de sécurité ; en fait, ce modèle est inefficace dans la plupart des cas d’utilisation.
Pourquoi l’authentification forte est importante
L’augmentation des incidents à fort impact et l’évolution des infrastructures devraient faire évoluer les protocoles d’authentification. Avec le modèle Zero Trust, il est impératif d’établir une preuve d’identité solide. Chaque utilisateur tentant d’accéder aux données doit être authentifié, et chaque appareil doit répondre à des exigences minimales de sécurité et de fiabilité, même s’il s’agit d’éléments connus. Une méthode efficace implique que les utilisateurs se ré-authentifient plus fréquemment. De plus, il faut d’abord considérer la façon dont ces derniers prouvent leur identité et quel niveau de confiance peut être donné à cette preuve. Une chose est sûre, les mots de passe seuls ne sont pas assez forts face aux techniques que les attaquants emploient actuellement. Ils ne sont pas non plus particulièrement pratiques lorsqu’il faut intégrer les exigences de stockage, de longueur, de complexité et de renouvellement.
Les bonnes pratiques suivantes doivent être prises en compte dans le cadre du parcours Zero Trust :
> Résistance au phishing
Le phishing est couramment utilisé pour extraire les informations d’identification de cibles involontaires afin d’accéder à des données, des systèmes ou des applications. Les mots de passe ne sont évidemment pas résistants à ce type d’attaque, mais les mots de passe à usage unique ne sont pas non plus la panacée. Malgré cet état de fait, notre récente étude a révélé que les codes d’accès à usage unique par SMS (OTP) et les applications d’authentification mobile sont les méthodes d’authentification à double facteurs (2FA) les plus populaires. L’authentification doit résister au phishing, fonctionner sur plusieurs types d’appareils, et prendre en charge des environnements de travail plus sûrs qui restreignent l’usage des appareils mobiles. Les solutions qui répondent à tous ces critères et ne nécessitent pas le déploiement de logiciels côté client sont optimales.
> Sûreté
La méthode d’authentification doit être résistante aux attaques les plus sophistiquées. Les appareils dédiés et spécialement conçus incluent des clés de sécurité matérielles. Avec cette forme d’authentification, les utilisateurs enregistrent leur clé auprès des applications et des appareils qu’ils utilisent. Pour se connecter, ils présentent la clé pendant le processus d’authentification pour prouver leur identité. Les actions cryptographiques complexes qui ont lieu en arrière-plan confirment que l’utilisateur et le service auxquels ils se connectent sont authentiques.
Une telle authentification forte prend en charge une approche Zero Trust, mais même avec cela, le périphérique de sécurité matériel doit toujours être validé. C’est là qu’une attestation entre en jeu. Elle valide que l’appareil provient d’un fabricant de confiance et que les informations d’identification d’accès qu’il génère n’ont pas été dupliquées.
> Gestion des identités et des accès
L’identité fédérée permet une gestion centralisée hautement automatisée de la gestion des identités et des accès dans l’ensemble de l’entreprise et du cloud. Le choix d’une plateforme d’identité prenant notamment en charge le protocole d’authentification FIDO permettra l’utilisation d’une solution de preuve d’identité forte dans la majorité des applications, y compris sur site, hébergées dans le cloud et en mode SaaS. L’expérience utilisateur s’améliorera également avec le recours à l’authentification unique et la réduction du casse-tête lié à la gestion des mots de passe. Cela devrait ainsi conduire à une adoption plus large avec une sécurité améliorée.
> Comptes non-utilisateurs
La sécurisation des comptes d’utilisateurs n’est souvent pas suffisante. Les comptes de service s’appuient souvent sur des informations d’identification statiques à longue durée de vie qui peuvent se retrouver dans des plateformes de contrôle de code source, des systèmes de fichiers réseau et sur des ordinateurs portables. La cryptographie asymétrique avec un module de sécurité matérielle (HSM) diminue sensiblement la menace de vol d’informations d’identification. Ces modules peuvent également fournir des attestations pour accroître la confiance dans l’endroit où la clé a été générée et sur son statut non exportable.
> Signatures électroniques
La plupart des organisations sont désormais familiarisées avec la signature électronique de documents. Le même principe peut s’étendre à d’autres solutions comme les emails, les validations de code et les versions logicielles. Les signatures électroniques peuvent fournir l’assurance qu’une personne authentifiée a élaboré un document par exemple, et offrir un moyen de détecter s’il a été modifié après sa signature. Les authentificateurs matériels rendent la signature électronique plus facile et plus forte.
> Authentification par étape en fonction du risque
Les politiques de contrôle d’accès basées sur les risques et l’évaluation de ces derniers protègent les utilisateurs et l’organisation tout en faisant croître la productivité. Il est possible de mettre en œuvre des contrôles automatisés qui augmentent les exigences et les attentes en matière d’authentification concernant le point de terminaison du client en fonction du type d’informations évaluées, de l’emplacement de la personne et de la déviation du comportement par rapport aux schémas attendus. Les authentificateurs qui peuvent prendre en charge une multitude de protocoles d’authentification offrent une flexibilité dans la mise en œuvre et un gradient de sécurité adapté au moment.
> Vers une connexion sécurisée sans mot de passe
Les mots de passe sont vulnérables à la compromission. Dans le cadre d’un modèle Zero Trust, les organisations peuvent planifier une connexion sécurisée sans mot de passe pour une authentification plus forte. Pour y parvenir, elles ont besoin d’un cadre d’authentification cohérent et doivent opter pour un écosystème construit sur des normes ouvertes, telles que FIDO2 / WebAuthn, qui ouvrent la voie à l’interopérabilité.
Malgré la popularité du modèle Zero Trust, de nombreuses organisations peuvent avoir du mal avec cette approche. C’est compréhensible alors que la protection périmétrique a été l’approche privilégiée depuis de nombreuses années. Au contraire, il faut un état d’esprit différent pour valider chaque tentative d’accès. Un point de départ solide consiste à évaluer ses pratiques d’authentification et à les renforcer si nécessaire. Les « secrets partagés », tels que les mots de passe, peuvent être facilement volés ou hameçonnés. L’authentification forte est une pierre angulaire du modèle Zero Trust car elle garantit que les utilisateurs sont correctement validés avant de leur accorder l’accès.
___________________
Par Laurent Nezot, Sales Director chez Yubico