Selon les tendances pour 2024 publiées par Forrester, le pourcentage de compromissions incluant un facteur humain augmentera encore davantage cette année, notamment avec l’explosion de l’utilisation de l’Intelligence Artificielle (IA) générative et de la prévalence des canaux de communication qui rendent les attaques d’ingénierie sociale plus simples et plus rapides. Avec des attaques rendues plus faciles par la technologie et donc de plus en plus nombreuses, il est primordial de sécuriser et de protéger les identités et les accès des utilisateurs, quel que soit l’endroit où ils se trouvent, notamment grâce à une approche zero trust.
La gestion des identités constitue l’un des aspects les plus importants d’une architecture zero trust, mais ce n’est pas le seul, et trop d’entreprises négligent ainsi les autres éléments clés de cette approche de la sécurité. En effet, résumer le zero trust à la supervision des identités des utilisateurs atteste d’une incompréhension du concept, qui peut conduire à des vulnérabilités potentielles qui risquent, à leur tour, de donner lieu à de graves incidents de cybersécurité.
Des identités importantes, mais de moins en moins fiables
Depuis de nombreuses années, les entreprises ont recours à l’authentification multifactorielle (MFA) pour protéger leurs données sensibles. Cependant, les méthodes des cybercriminels ne cessent d’évoluer et de se sophistiquer, et toutes les formes de MFA ne se valent pas ; certaines étant vulnérables aux attaques de phishing ou par ingénierie sociale.
En outre, en dehors du monde de la cybersécurité, personne n’accorde sa confiance sur la base d’un facteur unique. Elle est en effet donnée après un processus complexe, et demande du temps pour s’établir. Il en est de même pour une architecture zero trust complète : de multiples formes de vérification sont indispensables. Or, en simplifiant ce processus à l’excès, les entreprises risquent d’aboutir à une fausse impression de sécurité, et ouvrir la voie à une intrusion aux conséquences majeures.
Un point de contrôle unique pour une multiplicité de systèmes de sécurité
L’approche zero trust doit partir du principe que le système de l’organisation sera inévitablement compromis un jour ou l’autre. Le niveau de confiance dépend ainsi des différents systèmes mis en place pour le protéger. Il est essentiel qu’un point unique d’application des politiques soit utilisé pour contrôler le trafic d’informations provenant de ces différents systèmes.
L’authentification figure toujours en tête des systèmes utilisés dans une architecture zero trust et doit rester au cœur de toute stratégie basée sur cette approche. Elle inclut des éléments tels que les identités décentralisées, des processus MFA plus avancés et des méthodes biométriques sans mot de passe, mais elle n’est pas suffisante pour autant.
Il existe en effet d’autres aspects que les entreprises devraient intégrer dans leur point d’application des politiques afin de garantir une infrastructure zero trust sûre et fiable :
1- Appareils
Il ne s’agit pas seulement de savoir qui se connecte, mais aussi avec quel appareil, car un utilisateur pleinement authentifié sur un appareil compromis présente toujours un risque pour la sécurité. Avant d’accorder tout accès, l’architecture zero trust doit donc distinguer appareils professionnels et personnels, évaluer l’intégrité des appareils, mais aussi identifier les derniers correctifs appliqués et les configurations de sécurité.
2- Localisation
Avec l’essor du travail hybride, il est normal que les utilisateurs tentent d’accéder à leurs documents lors de leurs déplacements. Les entreprises doivent donc disposer d’un système capable de détecter les actions suspectes, comme des connexions simultanées depuis des lieux incompatibles. Elles doivent également pouvoir repérer une anomalie, par exemple, si un utilisateur tente de se connecter à Londres après s’être connecté à San Francisco moins d’une heure plus tôt.
3- Application
La multiplication des services cloud a entraîné le développement de nombreuses applications concurrentes répondant aux mêmes besoins. Il incombe donc aux équipes de sécurité de faire le tri et d’identifier celles qui sont approuvées pour l’utilisation en entreprise, voire, si nécessaire, de mettre en place des contrôles avancés et/ou des restrictions sur les applications non approuvées afin de limiter les risques de pertes de données.
4- Instances
Il existe également différents types d’instances pour chaque application du cloud. De nombreuses entreprises autorisent leurs salariés à utiliser des instances personnelles de Microsoft 365, par exemple. Ceci peut poser un problème, en particulier si des données confidentielles de l’entreprise sont ainsi mises en circulation. Il est donc important de maîtriser le fonctionnement de toutes les instances de chaque application.
5- Activité
L’approche zero trust inclut la manière dont les applications interagissent entre elles et la manière dont elles accèdent aux données. Même pendant la session d’un utilisateur, les actions qu’une application entreprend au nom de cet utilisateur doivent être analysées.
6- Comportement
Une identité approuvée peut permettre aux utilisateurs d’obtenir un accès initial, mais leur comportement doit ensuite être constamment supervisé. En effet, si un collaborateur (ou une entité quelle qu’elle soit) se met tout à coup à accéder à de gros volumes de données ou à télécharger des fichiers sensibles, cela doit déclencher un signal d’alarme, même après une authentification valide.
7- Données
Toute la philosophie de l’approche zero trust est axée sur la protection de l’intégrité et de la confidentialité des données. Il est donc essentiel de chiffrer les données au repos et en transit, mais aussi de superviser les statistiques d’accès aux données pour détecter les anomalies, indépendamment de l’identité des utilisateurs. Ceci inclut des mesures visant à automatiser le classement des données par catégories et la mise en œuvre de contrôles spécifiques ou renforcés, le cas échéant.
La gestion des identités reste évidemment un aspect majeur du modèle zero trust, mais ce n’est qu’un élément dans une structure complexe. En négliger les autres aspects revient à s’exposer au type même de cyberattaque que cette approche est censée prévenir.
In fine, une architecture zero trust n’est complète que lorsqu’une entreprise dispose d’une approche intégrée globale prenant en compte chaque point de contact, utilisateur et appareil. En incorporant ces tous ces éléments dans leurs mesures de protection, les entreprises se donnent les moyens de fonctionner en toute confiance. Dans le même temps, la sécurité peut devenir un élément moteur, permettant d’innover et de s’adapter à tous les besoins de l’activité, qu’il s’agisse d’adopter de nouvelles applications, d’intégrer l’IA, de se développer sur de nouveaux marchés ou de faciliter le travail hybride.
____________________________
Par Neil Thacker, RSSI EMEA chez Netskope
À lire également :
5 idées reçues sur le passage du VPN au ZTNA
Intégration de l’IA en entreprise : les professionnels de la sécurité doivent-ils s’inquiéter ?
Le SSE pour les fournisseurs de services internet : concurrence menaçante ou opportunité ?
Netskope veut sécuriser l’usage de ChatGPT en entreprise
Netskope lance SkopeAI, une suite d’IA pour la cybersécurité
puis