Nous pensions tous que le COVID-19 ne pourrait pas détériorer davantage l’environnement des cyber risques, pourtant la pandémie a porté à la supply chain un sérieux coup en 2021.
Aux pénuries de matériaux et à la saturation des ports et des terminaux sont venus s’ajouter un manque de conteneurs et de palettes, de chauffeurs de camions, ainsi que diverses autres carences, causant des perturbations qui ont touché les fabricants, les distributeurs et les consommateurs.
Saisissant cette opportunité, les cybercriminels ont intensifié les attaques de supply chain et de ransomware contre les entreprises, en employant souvent des outils RaaS (Ransomware as a Service) achetés sur le Dark Web.
La réalité actuelle est que de nombreux auteurs de cyberattaques utilisent tout simplement des mots de passe faibles, volés ou conservés par défaut, pour se connecter. Selon le rapport 2021 Data Breach Investigations Report de Verizon, 85 % des intrusions l’an dernier comportaient un élément humain, faisant souvent appel à l’ingénierie sociale, par exemple des e-mails de phishing. D’après les Nations Unies, le nombre d’e-mails malveillants a augmenté de 600 % durant la pandémie.
En réaction, 2022 sera l’année du renforcement des contrôles d’accès – des mesures de sécurité destinées à régir qui peut voir ou utiliser des ressources informatiques spécifiques – en particulier sur les sites distants accessibles en ligne.
Ne jamais faire confiance, toujours vérifier
« Faire confiance mais vérifier » a toujours été un adage classique en cybersécurité. Cependant, on ne compte plus les abus de confiance répétés à maintes reprises, que ce soit par négligence ou par malveillance. Cela a conduit à la généralisation du principe opposé : « Ne jamais faire confiance, toujours vérifier ».
Codifiée dans un ensemble de pratiques et de technologies connues sous le nom de Zero Trust, la position par défaut est que quiconque n’a pas vu son identité authentifiée et n’a pas reçu l’autorisation explicite d’être admis dans un système s’en voit refuser l’accès.
Le modèle Zero Trust est en quelque sorte une évolution du principe des moindres privilèges, selon lequel les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour accomplir une tâche, et uniquement pendant la durée nécessaire à ce travail.
Après l’authentification initiale, les contrôles de sécurité Zero Trust exigent une authentification supplémentaire par des facteurs multiples (empreinte digitale, reconnaissance faciale…) et bloquent l’accès de l’utilisateur à l’ensemble des applications ou services qui ne lui sont pas autorisés. Ainsi, même si un cybercriminel parvient à s’infiltrer dans le système, une attaque par mouvement latéral pourra être contrecarrée.
Si nous entendons parler du concept Zero Trust depuis plusieurs années, il serait erroné d’y voir une solution de sécurité type. Plutôt qu’une liste de cases à cocher, il s’agit davantage d’un état d’esprit guidant chaque entreprise le long d’un chemin qui lui est propre, déterminé par ses infrastructures et objectifs spécifiques.
Bien que difficile à cerner, le Zero Trust a fait ses preuves pour atténuer certaines conséquences financières. Une étude d’IBM révèle ainsi que ce type d’approche a contribué à réduire le coût moyen d’un piratage de données de plus de 40 % en 2021.
L’année de la profonde méfiance
Pour la plupart des entreprises, le Zero Trust implique un changement culturel de taille. Au lieu de supposer que les utilisateurs sont de bonne foi, cette approche part du principe universel qu’il ne faut faire confiance à personne, en bloquant les individus malintentionnés et en obligeant les utilisateurs de bonne foi à confirmer fréquemment leur identité.
Cette transformation risque de nuire à la simplicité d’utilisation attendue par les collaborateurs au sein d’une entreprise et 2022 pourrait devenir « l’année de la profonde méfiance ». Pourtant cela aidera à contrer la recrudescence des attaques visant les systèmes numériques, c’est pourquoi les solutions peuvent et doivent évoluer afin de renforcer la sécurité tout en préservant la productivité et la facilité d’accès.
L’un des moyens de parvenir à cet équilibre est d’adopter une approche fondée sur le risque, des mesures de vérification variables suivant des facteurs tels que l’équipement de l’utilisateur, sa localisation, l’heure de l’accès ou encore les systèmes et informations auxquels il accède.
Le Zero Trust est comparable à un détecteur de mensonges qui s’adapte au risque potentiel de chaque interaction et – s’il est correctement mis en œuvre – authentifie les utilisateurs avec un maximum de fluidité.
Technologies et techniques assurant la fluidité
Il existe un certain nombre de technologies et de techniques permettant de limiter l’impact sur les utilisateurs. L’authentification unique (SSO, Single Sign-On), par exemple, réduit nettement les frictions car les utilisateurs ne voient leur identité vérifiée qu’une seule fois pour accéder à différents systèmes et diverses informations. Il importe toutefois que les mots de passe ne constituent pas les seules mesures de sécurité.
Une solution complète de gestion des accès à privilèges (PAM, Privileged Access Management) permet aux entreprises d’appliquer en toute transparence le principe des moindres privilèges, de sorte que les utilisateurs n’aient accès qu’aux données et applications dont ils ont besoin, lorsqu’ils en ont besoin. En particulier, le PAM contrôle les privilèges des comptes administrateurs ciblés par des adversaires désireux d’obtenir un accès complet aux systèmes.
L’EPM (Endpoint Privilege Management, gestion des privilèges des postes de travail) est un autre outil important qui répond aux risques liés à l’accès administrateur local exploité par les ransomwares et d’autres menaces. L’EPM associe le contrôle des applications et le PAM afin que seules des applications fiables et connues puissent s’exécuter sur les postes des utilisateurs.
L’authentification multifacteur (MFA) est elle aussi un moyen efficace d’appliquer une authentification adaptative et est devenue très prisée des utilisateurs ces dernières années grâce à la biométrie.
Le Zero Trust n’est pas une solution unique mais une démarche. Les entreprises doivent déterminer quelles mesures de contrôles réduiront le plus les risques et décomposer leur stratégie Zero Trust en plusieurs étapes. Pour éviter toute perturbation, cette réduction des risques doit être obtenue sans augmentation notable des frictions pour les utilisateurs.
L’adage « Faire confiance mais vérifier » a fait son temps. Tout comme les habitudes de ne pas verrouiller sa porte ou de laisser les clés sur le démarreur. En matière d’accès réseau, nous allons tous devoir nous habituer à faire l’objet de méfiance, à condition que cela se passe de la manière la plus transparente possible.
Tribune par Yves Wattel, Vice President Southern Europe chez Delinea