Personne ne laisserait entrer chez lui une personne qu’il ne connaît pas et en qui il n’a pas confiance. Pourquoi cela ne s’appliquerait-il pas également aux infrastructures Cloud des entreprises, souvent complexes, en matière de protection des données et de réseau ? Pourquoi une approche « Zero Trust », autrement dit de confiance zéro, pourrait être la clé pour les entreprises ?
Un essor du cloud allant de pair avec l’accroissement des attaques cybercriminelles
En 2019, une étude Gartner prévoyait déjà que la croissance du marché des services Cloud sera presque trois fois plus importante que la croissance de l’ensemble des services informatiques. Alimentées par la pandémie et le passage massif au télétravail, la plupart des équipes informatiques ont accordé depuis le début de la crise une importance accrue à la migration vers le cloud. Pour la première fois, les dépenses en matière de cloud ont dépassé 40 milliards de dollars au premier trimestre 2020, selon une étude du cabinet Canalys.
Aujourd’hui, le Cloud facilite le télétravail, favorise le stockage simple et l’échange rapide de données essentielles. Mais c’est là que réside le nœud du problème : une multitude d’appareils se connectent à distance au réseau de l’entreprise, via de nombreux services cloud, la surface d’attaque pour les activités cybercriminelles est ainsi plus étendue.
Cyberattaques : les employés en première ligne
Les derniers rapports de cybersécurité montrent que, rien qu’au deuxième trimestre 2020, on compte en millions le nombre de cyberattaques ayant été perpétrées contre des services cloud notamment des tentatives de connexion non autorisées. Pour obtenir les identifiants de connexion nécessaires, les acteurs malveillants doivent soit convaincre leurs victimes de les remettre « volontairement », soit tenter de détourner le réseau via un code malveillant.
Un autre facteur de risque provient des usages BYOD et Shadow IT. Dans le premier cas, les employés utilisent leurs propres équipements à des fins professionnelles ; dans le deuxième cas, ils utilisent des applications non approuvées par le service IT (pour le partage de fichiers par exemple). Dans les deux cas, ces pratiques exposent les entreprises à de nouveaux risques de sécurité. En effet, ces appareils ou applications ne sont pas gérés par l’équipe IT et passent donc sous le radar de la sécurité informatique. Lorsque les cybercriminels trouvent une faille, il leur est ensuite facile d’infiltrer le réseau de l’entreprise, de s’attaquer aux données et de causer d’autres dommages.
Zero Trust : une défense contre les menaces à l’intérieur du réseau
Ces scénarios ont un point commun : une fois que les cybercriminels ont accédé au réseau par le biais de vulnérabilités comme l’ordinateur portable de l’employé ou ses identifiants de connexion, l’attaque a lieu au sein de ce réseau. Jusqu’à présent, les entreprises se sont principalement appuyées sur le périmètre du réseau pour faire office de mur de protection, composé de pare-feu, de VPN, de systèmes de gestion des informations et des événements de sécurité (SIEM) et d’autres solutions de contrôle d’accès. Toutefois, ces mesures ne protègent le réseau que contre les attaques externes, négligeant ainsi les menaces qui proviennent de l’intérieur, par les employés, souvent involontairement.
Il est de plus en plus difficile d’assurer une protection efficace, non seulement en raison des menaces potentielles sur les divers fronts, mais aussi en raison de la complexité croissante de l’ensemble du paysage IT créé par les services et les applications cloud. Il n’est donc pas surprenant que les équipes IT perdent la trace de tous les accès et de la fiabilité des utilisateurs et des appareils. Pour compenser, ils utilisent de multiples outils de sécurité provenant de différents fournisseurs. En effet, on se retrouve souvent confronté à des entreprises utilisant des applications de sécurité provenant de quatre à neuf fournisseurs différents. Une telle approche peut, dans certaines situations, faire perdre un temps précieux aux équipes en cas d’incident lié à la sécurité.
Dans ce contexte, l’une des solutions consiste à avoir une approche holistique de type Zero Trust. Il s’agit d’un modèle qui s’appuie sur une méfiance absolue à l’égard des utilisateurs, des applications et des appareils, ainsi que sur la validation des identités. Ainsi, les équipes informatiques gardent le contrôle sur toutes les instances du réseau et sur tous les accès au réseau lui-même.
Modèle Zero Trust – mise en pratique
Quelle que soit l’infrastructure sous-jacente, les équipes informatiques peuvent obtenir une visibilité non seulement sur le comportement des utilisateurs et l’utilisation des appareils, mais aussi sur les flux de données et les processus opérationnels. Cela favorise donc l’identification des menaces et la prévention des attaques plus rapidement.
La première étape du processus consiste à déterminer qui a actuellement accès à quelles données ou à quels services et qui en aura l’accès à l’avenir. Par la suite, les équipes informatiques attribuent des privilèges d’accès. En effet, les données sensibles ne doivent être accessibles, après confirmation d’identité, qu’aux employés qui en ont besoin pour leur activité.
Afin de détecter rapidement les anomalies, la surveillance des transferts et du comportement des utilisateurs doit être effectuée en permanence. Les utilisateurs et les appareils étant généralement classés comme non fiables, les employés doivent confirmer leur identité ou leur appareil via une authentification multifactorielle par exemple. Et ce, non seulement pour accéder au réseau, mais aussi lorsqu’ils s’y trouvent déjà. Ce n’est qu’après une vérification réussie que les employés peuvent accéder au contenu.
En appliquant la règle de « non-confiance » par défaut pour toute personne se connectant au réseau de l’entreprise, les équipes informatiques améliorent drastiquement la sécurité de leurs infrastructures. Les cybercriminels ne pouvant pas s’appuyer sur des comptes ou des appareils compromis, ils se voient refuser l’accès aux données sensibles dans le cloud.
___________________
Par Laurent Maréchal, Solution Architect EMEA, McAfee