L’approche Zero Trust n’est pas une technologie mais une culture de la cybersécurité , un état d’esprit, qui permet de repenser la protection des accès, des données, des applications et s’avère clé dans la protection des bots, des sites Web et des API.

Le Zero Trust est l’une des trois tendances « les plus prometteuses » identifiées dans un rapport F5 et a systématiquement obtenu un score d’intérêt élevé dans Google Trends au cours des douze derniers mois.

Par conséquent, le concept de Zero Trust est l’une des approches de la sécurité les plus discutées (et les plus mal comprises) depuis l’arrivée du « shift left ». Trop souvent, la notion de Zero Trust est assimilée à une technologie spécifique, comme le périmètre défini par logiciel (SDP), ou à un segment de marché, comme la gestion des identités et des accès (IDAM).

Nous avons assisté au même empressement à comparer des technologies ou des produits spécifiques lors de l’introduction du cloud. Le « cloud washing » était une pratique courante, souvent utilisée comme une observation désobligeante sur la « nébulosité » d’un nouveau produit.

La sécurité Zero Trust est, au fond, un état d’esprit à partir duquel des techniques et des tactiques émergent et tirent parti de technologies spécifiques, qui peuvent ensuite être appliquées pour faire face à un large éventail de menaces pour la sécurité.

Cet état d’esprit repose sur un ensemble d’hypothèses, et les utilisations des technologies sont les conséquences de ces hypothèses.

Le recours à une technologie comme le SDP ou la sécurité des API ne signifie pas que vous avez adopté le Zero Trust. L’installation d’un produit unique ne signifie pas que vous êtes soudainement « conforme à la norme Zero Trust » et donc à l’abri des attaques, des violations ou des exploits.

Ce qui est vrai, c’est que la sécurité des SPD et des API peut, en fait, constituer une réponse tactique appropriée à l’adoption d’une approche Zero Trust. Pour y arriver, il faut partir de certaines hypothèses de base, puis déterminer quels sont les meilleurs outils et technologies qu’elles impliquent logiquement.

Passons en revue quelques exemples qui, comme le titre l’indique, nous amènent à la conclusion que la protection contre les bots et la sécurité du Web et des API fait partie de la boîte à outils du Zero Trust.

1/ Une approche de type « Zero Trust » suppose un compromis.

Les utilisateurs légitimes disposant d’un accès autorisé peuvent, en fait, être exposés à des risques, et constituent donc une menace involontaire et très coûteuse. Les attaquants savent qu’il est généralement plus facile d’entrer par les fenêtres (utilisateurs) que par la porte d’entrée (réseau d’entreprise). Les utilisateurs sont en permanence menacés d’être attaqués, et supposer qu’ils le sont déjà est donc la solution la plus sûre.
La gamme des opérations possibles à partir d’un ordinateur portable ou d’un téléphone mobile d’entreprise compromis est vaste et inclut le lancement d’attaques contre des sites Web et des applications qui tentent de partager des logiciels malveillants (notamment des malwares, des ransomware et des whatever-comes-next-ware) ou d’exploiter des vulnérabilités pour obtenir un accès.
Dans la mesure où les API sont de plus en plus utilisées par les applications mobiles et Web pour accéder aux applications et systèmes de l’entreprise, il est essentiel d’inspecter le contenu provenant d’utilisateurs légitimes et authentifiés pour déterminer s’il est malveillant ou non. La sécurité du web et des API est donc un choix logique pour mettre en place une protection contre ce risque.

2/ L’approche Zero Trust part du principe que les informations d’identification ne suffisent pas.

Qu’il s’agisse d’un utilisateur humain, d’une machine ou d’un logiciel, une approche Zero Trust part du principe que même si des identifiants légitimes sont donnés, l’utilisateur réel peut ne pas être légitime. Le bourrage d’identifiants, après tout, est un problème permanent qui exploite des identifiants légitimes mais volés. Il est de notoriété publique qu’en moyenne, un million de noms d’utilisateur et de mots de passe sont déclarés perdus ou volés chaque jour.
L’analyse de F5 conclut que 0,5 % à 2 % de toute liste d’identifiants piratés sera valide sur un site Web ou une application mobile ciblée. Par conséquent, une approche Zero Trust consiste à prendre des mesures pour vérifier non seulement les identifiants de connexion, mais aussi l’identité même de l’utilisateur. Cela implique de démasquer les bots qui se font passer pour des utilisateurs légitimes. D’un point de vue tactique, la protection contre les bots (que l’on peut également appeler détection des bots) joue un rôle important dans une approche Zero Trust.

3/ Le principe Zero Trust part du principe que le changement est un phénomène constant.

Le Zero Trust rejette l’hypothèse selon laquelle une fois qu’un utilisateur est vérifié et que l’accès à une ressource est autorisé, le risque est nul. Chaque transaction est jugée risquée et évaluée en fonction du contenu qu’elle véhicule et de l’utilisateur qui l’envoie. Le détournement de session est une véritable méthode d’attaque, après tout.
La vigilance constante est (ou devrait être) la devise du Zero Trust, laquelle exige d’être constamment à l’affût des contenus malveillants. La sécurité des sites Web et des API, ainsi que la détection des bots, sont donc des éléments essentiels de l’approche « Zero Trust ».

Aujourd’hui, cette approche conduit également à d’autres outils et technologies, comme le SDP et le contrôle d’identité et d’accès, les pares-feux de réseau et le CASB, ainsi qu’une multitude d’autres solutions qui atténuent les risques connus résultant naturellement de ces hypothèses. Mais il n’est pas possible de mettre en œuvre une seule d’entre elles et alors considérer que l’initiative Zero Trust est terminée. C’est comme prendre un Ibuprofène pour soigner une jambe cassée plutôt que d’aller voir un médecin. Oui, cela atténue la douleur, mais ne fait rien pour résoudre le fond du problème. La méthode parfaite pour adopter le principe Zero Trust n’existe pas, mais les éléments indiqués ci-dessus permettent d’être plus flexible et capable de faire face aux nouvelles attaques plus rapidement et efficacement.
___________________

Par Lori MacVittie, ingénieur émérite chez F5

 

À lire également :

Concilier risque et innovation : l’impossible mission de la sécurité ?

Fraudes : moins, c’est plus…

C’est toujours le DNS !

Protéger les applications contre des attaques modernes et complexes