Les premiers jours de la sécurité des réseaux étaient définis par des périmètres statiques et quasi immuables. Chaque utilisateur et chaque ressource à l’intérieur de ce périmètre était traité avec une confiance implicite. Cela fonctionnait assez bien dans un monde où le travail au bureau était la norme et où les cybercriminels opéraient de manière largement indépendante les uns des autres.
Comment les choses ont changées.
Nous vivons désormais dans un monde défini par des réseaux distribués, des chaînes d’approvisionnement numériques complexes et le travail à distance. Les acteurs de la menace sont considérablement plus organisés et avancés, notamment avec l’essor de la cybercriminalité en tant que service. Les menaces ne sont pas seulement plus sophistiquées, elles sont aussi plus nombreuses et dynamiques – 560 000 nouveaux logiciels malveillants sont détectés chaque jour. Si l’on ajoute à cela la disponibilité d’informations contextuelles sur les appareils, la localisation, les comportements et d’autres paramètres, on comprend pourquoi les entreprises investissent fortement dans la sécurité numérique.
Les anciens logiciels antivirus et la sécurité réseau basée sur le périmètre ne peuvent tout simplement pas suivre. De nombreuses organisations ont décidé de déployer une nouvelle solution ponctuelle pour faire face à chaque nouvelle menace ou risque. Cela a conduit à des piles de sécurité gonflées et non viables, qui mettent à rude épreuve des équipes de sécurité qui ont déjà du mal à suivre.
Le paysage d’affaires actuel exige une nouvelle approche de la sécurité, fondée sur la Confiance zéro.
Présentée pour la première fois en 2010 par l’analyste Forrester Research, la Confiance zéro est un modèle de sécurité fondé sur un concept simple : ne faire confiance à personne. Dans un cadre de Confiance zéro, toute personne, quelle que soit sa position dans la hiérarchie d’une organisation, doit se soumettre à une authentification, une autorisation et une validation continue. Selon Forrester, cette approche s’articule autour des principes suivants :
- Incorporez une vérification basée sur les risques. Plus la probabilité qu’une demande d’accès particulière puisse conduire à un cyberincident est élevée, plus vos processus d’authentification doivent être rigoureux.
- Traitez toutes les entités comme non fiables par défaut. Refusez tout accès non authentifié aux systèmes, aux données et aux applications.
- Appliquez le principe du moindre privilège. Chaque utilisateur ne doit avoir accès qu’à ce dont il a absolument besoin pour faire son travail.
- Mettez en place une surveillance complète de la sécurité. À des fins de sécurité et d’application, maintenez une visibilité totale sur l’ensemble de votre écosystème, y compris les biens critiques.
- Assurez une authentification continue. Même une fois qu’un utilisateur est vérifié et que l’accès lui est accordé, continuez à surveiller son activité pour vérifier son identité et contrôler les comportements suspects.
Il est important de comprendre que la Confiance zéro n’est pas un modèle de sécurité statique. Il s’agit d’un processus continu, qui nécessite des révisions régulières. L’adoption réussie de la Confiance zéro nécessite donc :
- Un alignement à l’échelle de l’organisation.
- L’adhésion des dirigeants.
- Les bons processus et les bonnes politiques.
- La bonne technologie.
- La bonne mentalité. (mindset = attitude = état d’esprit)
Les éléments ci-dessus ne peuvent pas être abordés isolément, mais doivent au contraire être traités comme faisant partie d’un tout unifié, chacun d’entre eux soutenant les autres. Étant donné le niveau de complexité que cela implique, il est souvent difficile de savoir par où commencer. C’est pourquoi nous avons compilé ci-dessous une liste de contrôle complète de tous les composants impliqués dans l’adoption de la Confiance zéro.
Mentalité
La Confiance zéro est une rupture totale avec la sécurité traditionnelle basée sur le périmètre. Avant de pouvoir définir les processus et adopter les technologies nécessaires, vous devez d’abord établir une culture qui y adhère. Vous avez besoin de l’état d’esprit adéquat pour que tout le reste ne tombe pas à plat.
- Construisez pour la facilité d’utilisation. La sécurité et la facilité d’utilisation vont désormais de pair. L’époque où une organisation pouvait se permettre d’ignorer l’expérience utilisateur de ses outils de sécurité est bien derrière nous.
- Ne faites confiance à personne. Peu importe que quelqu’un soit votre responsable de la sécurité informatique ou un stagiaire dans la salle du courrier. Du point de vue de la Confiance zéro, on ne peut faire confiance à aucun des deux utilisateurs sans vérification.
- Arrêtez de vous croire à l’abri. Votre organisation n’est pas trop petite pour être violée. Au contraire, les petites entreprises sont ciblées plus fréquemment par les acteurs de la menace que les grandes organisations.
- Regardez l’utilisateur, et non l’appareil. De nombreux utilisateurs professionnels possèdent désormais plusieurs appareils, qu’ils utilisent tous sur leur lieu de travail. En authentifiant chaque appareil individuel, il est nettement plus difficile de déterminer quand un utilisateur a été compromis. L’authentification basée sur l’identité ne souffre pas de ce défaut.
- Acceptez que le périmètre n’existe plus. Les pare-feu, les réseaux privés virtuels et les solutions de sécurité axées sur le périmètre ne suffisent plus. Votre écosystème s’étend désormais bien au-delà de la périphérie du réseau, et votre périmètre ne peut plus vous protéger entièrement.
- Comprenez la valeur de la cybersécurité. Si vous avez du mal à définir le retour sur investissement d’une solution de sécurité, pensez aux atteintes à la réputation, à la perte de données, à la perte de productivité et aux amendes réglementaires qui pourraient s’ensuivre si votre organisation était victime d’une violation.
Processus et politiques
Manipulée par des mains non qualifiées, même l’arme la plus puissante n’est pas à la hauteur. De plus, même l’architecture de sécurité la plus redoutable du marché ne sera pas à la hauteur si personne ne comprend comment l’appliquer. C’est pourquoi, à bien des égards, la documentation des processus et des politiques constitue le fondement de la Confiance zéro.
- Normes industrielles. NIST 800-207 est la norme la plus largement acceptée pour la Confiance zéro, car elle est non seulement complète, mais aussi indépendante des fournisseurs et de l’industrie. D’autres modèles de Confiance zéro incluent le Modèle de maturité de Confiance zéro de CISA et le Modèle évolutif de Confiance zéro de Microsoft.
- Utilisateur. Chaque utilisateur de votre organisation doit être défini en fonction :
- Du département.
- Des rôles et responsabilités.
- Du niveau d’autorité.
- Des autorisations d’accès/privilèges requis.
- Gestion de la conformité. Pour garantir le respect à la fois des règles du secteur et du cadre de Confiance zéro que vous avez choisi, vous voudrez intégrer un moyen de surveillance et d’application des politiques. Avant de déployer réellement la technologie, vous devez toutefois définir :
- Comment les violations de politique seront identifiées et signalées.
- Les actions typiques d’application, à la fois manuelles et automatisées.
- Les systèmes, actifs, flux de travail et applications auxquels une politique s’applique.
- Qui est responsable ultimement de la surveillance et de l’application.
- Utilisation acceptable. Quels systèmes et appareils sont autorisés à se connecter à votre réseau ? Si les utilisateurs disposent d’appareils appartenant à l’entreprise, que sont-ils autorisés à faire avec ces appareils, et quelles sont les conséquences d’une violation de votre politique d’utilisation acceptable ?
- Accès. Chaque actif doit se voir attribuer son propre ensemble de politiques d’accès. Les autorisations doivent être dynamiques et ajustables en fonction des besoins des utilisateurs individuels, tout en empêchant les mouvements latéraux dans votre écosystème.
- La formation à la sensibilisation à la sécurité. Cela inclut la fréquence des sessions de formation et des simulations, ce que ces sessions impliquent et qui doit y participer. Les politiques de formation à la sensibilisation à la sécurité doivent également définir comment vous évaluerez les connaissances de chaque utilisateur, et ce qui peut être fait dans le cas où un utilisateur échoue à sa formation.
- Actifs. Schématisez votre réseau et définissez clairement chaque actif en fonction de son importance pour les opérations d’affaires et des dommages que vous pourriez subir en cas de corruption.
- Gestion des risques. Déterminez un cadre/processus pour identifier, classer et atténuer les risques et les vulnérabilités de votre écosystème. Le Cadre de gestion des risques du NIST constitue un excellent point de départ à cet égard.
- Réponse aux incidents. Définissez un plan concret de gestion, de communication, de réponse et de récupération pour chaque type d’incident auquel votre entreprise est susceptible d’être confrontée, avec un plan généralisé suffisamment souple pour être appliqué en cas de crise inattendue. Ces plans doivent englober :
- Des objectifs pratiques et clairement définis.
- Des actions critiques immédiates, telles que l’isolement des machines infectées du réseau en cas de malware.
- Chaîne de commandement.
- Rôles et responsabilités.
- Mécanismes de continuité des activités et de reprise après sinistre.
- Règles et normes de communication avec les parties prenantes.
- Un modèle pour les messages publics/les communiqués.
- Des politiques sur la classification des incidents.
- Des processus et des règles pour communiquer avec les acteurs de la menace – par exemple, si oui ou non votre organisation paierait jamais un distributeur de ransomware.
- Procédures de gestion des alertes et des journaux.
- Évaluation et examen post-incident.
- Évaluation de l’utilisabilité. Vous devez mettre en place des politiques pour évaluer et traiter les problèmes d’utilisabilité. Lesdites politiques doivent également définir ce qu’implique la réalisation de contrôles de routine de l’utilisabilité, y compris la programmation.
- Gestion du cycle de vie. Assurez-vous que des processus sont en place pour l’application régulière des mises à jour de sécurité et des correctifs critiques aux logiciels et aux systèmes.
Technologie
Enfin, et surtout, il y a la technologie. Ce sont les outils et les composants architecturaux qui sont à la base de la Confiance zéro. Si vous avez déjà lu le document NIST 800-207, vous avez déjà une idée de ce dont vous avez besoin et de ce que cette section va couvrir.
- Moteur de politique. Selon la définition du NIST, cela comprend le moteur de politique qui détermine s’il faut accorder ou non l’accès à une ressource, un administrateur de politique qui gère l’authentification et établit une connexion, et un point d’application de la politique qui active, surveille et termine la connexion. Un moteur de politique est généralement informé par :
- Renseignements sur les menaces. Information, tant internes qu’externes, recueillies en temps réel par des solutions telles que la détection et la réponse des points de terminaison/la détection et la réponse étendues (EDR/XDR). and Response/ both internal and external, gathered in real-time by solutions such as Endpoint Detection Extended Detection and Response (EDR/XDR).
- Des diagnostics en temps réel liés à l’actif. Cela inclut l’intégrité de l’actif, la présence de toute vulnérabilité connue et la présence de tout composant suspect ou non autorisé.
- Systèmes de conformité réglementaire. Des solutions qui automatisent le processus d’application de la conformité dans la mesure du possible.
- Des registres d’activité du réseau et du système. Comprend tous les événements liés à l’activité des utilisateurs, à l’activité du réseau et à l’activité du système.
- Politiques d’accès. Attributs, règles et politiques régissant l’accès aux ressources de l’entreprise, générés dans le moteur de politiques ou définis via un outil externe.
- Infrastructure à clé publique d’entreprise (ICP). Génère et enregistre les certificats d’accès. Enterprise public key infrastructure (PKI). Generates and logs access certificates.
- Gestion des identités et des accès (GIA). Un cadre collectif d’outils, de technologies et de politiques pour créer, entreposer et gérer les autorisations pour les comptes d’utilisateurs.
- Gestion des informations et des événements de sécurité (GIES). Combine la détection des menaces, la conformité et la gestion des incidents de sécurité en une seule plateforme, tout en regroupant et en analysant les données des journaux et des événements. Généralement, il gère et classe également les alertes de sécurité.
- Endpoint/Extended Detection and Response (EDR/XDR). EDR surveille en permanence les points d’extrémité et les appareils des utilisateurs finaux au sein de votre écosystème pour aider les équipes de sécurité à identifier et à remédier aux menaces. XDR a le même objectif, mais étend son champ d’action au-delà des points d’extrémité, aux applications en cloud, à la messagerie électronique, etc. EDR continuously monitors both endpoints and end-user devices within your ecosystem to help security teams identify and remediate threats. XDR serves the same purpose, but expands its scope beyond endpoints to cloud applications, email, etc.
- L’authentification unique (SSO). Facilite l’accès aux ressources de votre organisation, en permettant à un utilisateur autorisé de s’authentifier simultanément auprès de tous les systèmes et applications pertinents plutôt que de devoir se connecter à chacun d’eux individuellement.
- Authentification multifactorielle (AMF). Fournit une couche supplémentaire de vérification pour les utilisateurs au-delà d’un simple nom d’utilisateur et d’un mot de passe. Cela rend à son tour considérablement plus difficile pour un acteur de la menace d’obtenir l’accès à un compte compromis.
- Sandboxing. Sans doute cruciale pour le concept de moindre privilège, la conteneurisation permet de s’assurer que même si un acteur de la menace utilise un compte compromis pour accéder à une application ou à un accès, il ne peut pas se déplacer latéralement sur le réseau.Arguably crucial to the concept of Least Privilege, containerization helps ensure that even if a threat actor uses a compromised account to gain access to an application or access, they are unable to move laterally through the network.
- Périmètres de réseau définis par logiciel. Tangentiellement lié à la GIA et au sandboxing, un périmètre défini par logiciel contrôle l’accès aux actifs en formant des frontières virtuelles basées sur l’identité, l’emplacement, etc. d’un utilisateur. Software-defined network perimeters. Tangentially related to IAM and sandboxing, a software-defined perimeter controls access to assets by forming virtual boundaries based on a user’s identity, location, etc.
- Prévention des pertes de données/prévention des fuites de données. Des solutions qui empêchent respectivement les données d’être rendues inaccessibles par des cyberincidents tels que les ransomwares et d’être transmises à des parties non autorisées en dehors de votre organisation.
Ne faites confiance à personne, vérifiez tout le monde
Que vous soyez une PME ou une grande entreprise, le paysage des menaces auquel vous êtes confronté est à la fois sophistiqué et en constante évolution.
Une approche traditionnelle de la cybersécurité, basée sur le périmètre, ne peut tout simplement pas faire face aux menaces émergentes, ni prendre en charge efficacement le travail distribué. Afin de protéger vos employés, vos systèmes et vos données, vous devez changer votre façon de concevoir la cybersécurité.
Et cela commence par l’adoption de la Confiance zéro. Réservez un appel de découverte aujourd’hui et nous vous aiderons à créer un plan pour adopter la Confiance zéro dans votre organisation.