Pourquoi l’accès conditionnel est essentiel pour la sécurité Zero Trust

Pourquoi l’accès conditionnel est essentiel pour la sécurité Zero Trust

Vous avez probablement entendu parler de la sécurité Zero Trust – il ne s’agit en aucun cas d’un nouveau concept. Cela dit, de nombreuses entreprises ont atteint un point critique dans leurs stratégies de transformation numérique. Avec plus d’appareils en dehors du périmètre d’entreprise et plus d’applications que jamais utilisées dans le cloud public, les entreprises n’ont essentiellement d’autre choix que d’explorer de nouveaux modèles d’accès conditionnel pour assurer la sécurité. L’approche traditionnelle ne peut tout simplement plus évoluer.

Pourquoi adopter un modèle zero trust?

Malgré des changements radicaux dans l’architecture informatique et des pratiques de travail modernes, l’approche de la sécurité sur site a persisté. Compte tenu de la multitude de violations de la sécurité ces dernières années, il est devenu évident que la sécurité sur site n’est plus adaptée. Lorsque tous les employés, ressources et systèmes étaient installés sur site, protégés par le pare-feu de l’entreprise, l’approche sur site semblait judicieuse. Aujourd’hui, la main-d’œuvre mobile est devenue la norme et les entreprises sont en train de passer à des applications cloud et à des stratégies mobiles.

Dans le «Global Outsourcing Survey 2018» de Deloitte, 93% des participants ont déclaré que leur organisation était en train d’adopter ou envisageait d’adopter le cloud. La migration vers le cloud semble inévitable, qu’elle soit partielle ou totale, mais les approches traditionnelles en matière de sécurité d’entreprise n’ont pas été conçues pour intégrer la protection des données gérées par des tiers.

Mobile complique davantage la gestion des accès

Mobile ajoute une autre raison d’adopter un modèle zero trust. La mentalité n’importe quand, n’importe où est une réalité: les employés s’attendent à pouvoir travailler à partir de n’importe quel appareil. Avec un nombre croissant de périphériques accédant aux ressources de l’entreprise – gérés et non gérés, à l’intérieur et à l’extérieur du périmètre -, comment les équipes informatiques peuvent-elles être assurées que l’accès n’est accordé qu’aux employés? L’accès aux applications cloud devient beaucoup plus complexe lorsque la mobilité est impliquée, en particulier si la seule couche de protection dont dispose une application est un nom d’utilisateur et un mot de passe.

De plus, l’un des problèmes inhérents à la sécurité basée sur un périmètre est qu’elle accorde l’accès sur la base d’hypothèses implicites. Si quelque chose demande l’accès depuis un emplacement approuvé (à l’intérieur du réseau), il est allumé. Malheureusement, en raison de l’évolution rapide du paysage des menaces, cette approche ne tient pas compte des menaces qui se trouvent déjà dans le périmètre de l’entreprise.

Zero Trust est bien moins hypothétique, adoptant un scepticisme sain pour la gestion des accès et fondant les décisions sur des mécanismes d’authentification plus robustes. Les entreprises doivent adopter le mentalité suivante: «Ne jamais faire confiance, toujours vérifier.» S’éloigner des hypothèses de confiance implicites telles que l’emplacement, signifie que les équipes de sécurité ont dû repenser la façon d’authentifier les utilisateurs.

L’identité est un élément essentiel de Zero Trust

En fin de compte, chaque mécanisme de sécurité tente de déterminer avec précision l’identité de la personne faisant la demande. Sinon, l’accès ne devrait pas être accordé. C’est joli en noir et blanc.

Chaque employé a une identité unique, mais cela n’est pas nécessairement reflété par l’authentification traditionnelle basée sur un mot de passe. Les employés doivent invariablement gérer des identifiants différents pour des dizaines d’applications différentes, les meilleures pratiques stipulant que le même mot de passe ne doit pas être utilisé deux fois. Malheureusement, la commodité usurpe souvent la vie privée – 59% des personnes utilisent le même mot de passe pour tout, selon LastPass.

De plus, une combinaison de nom d’utilisateur et de mot de passe n’est pas synonyme d’identité; cela signifie simplement que quelqu’un a la bonne combinaison d’identifiants de connexion. Ainsi, avec des entreprises construisant des architectures plus décentralisées, l’authentification basée sur un mot de passe ne peut pas être la seule ligne de défense.

La gestion des identités et des accès (IAM) a aidé les organisations à mieux gérer l’accès aux applications cloud sanctionnées, en leur permettant d’appliquer l’authentification multifactorielle (MFA) afin de déterminer plus précisément l’identité des utilisateurs finaux. La gestion unifiée des points d’extrémité (UEM) a permis de gérer et d’activer les smartphones, les tablettes, les ordinateurs portables, les dispositifs portables et l’internet des objets (IdO) via une seule et même plateforme. Mais même si les outils IAM et UEM permettent à un administrateur de vérifier avec précision l’identité d’un individu, cela signifie-t-il que l’accès à Simon des comptes doit être accordé? Pas nécessairement.

Zero Trustet accès conditionnel

Zero Trust est une approche sans faille de la sécurité. Pensez-y comme le gérant d’un concessionnaire Ferrari. Ferris Bueller entre et demande de tester le modèle le plus cher. Bien qu’il ait un permis de conduire, le directeur demandera toujours à Ferris de prouver qu’il peut se le permettre, avant de mettre la clé dans le contact.

Il y a un certain nombre de facteurs contextuels à prendre en compte; l’identité seule ne suffit pas. Ce n’est pas parce que Simon a été vérifié que le périphérique ou le réseau qu’il utilise est sécurisé. Ceci est particulièrement pertinent en ce qui concerne le mobile, où il existe une myriade d’idées fausses sur la manière dont les menaces se comportent, ainsi qu’un manque général de protection. La confiance zéro consiste à adopter une vue globale de la demande d’accès et à fournir l’accès en conséquence.

Développer un amour inconditionnel pour l’accès conditionnel

L’accès conditionnel utilise des règles pour gérer en fonction de signaux contextuels, tels que la géolocalisation, le type de périphérique, le système d’exploitation, le contexte du réseau, etc. Il s’agit de comprendre le risque au niveau du endpoint , de réaliser une évaluation du risque en temps réel de l’identité d’un dispositif et de combiner ces signaux avec des informations sur les menaces.

Par exemple, considérons un employé qui demande l’accès au système de gestion de la relation client (CRM) de la société via un appareil doté d’un système d’exploitation obsolète et de programmes malveillants détectés. Bien que la société puisse tolérer cette version particulière du système d’exploitation, il n’est pas acceptable que le périphérique infecté par des logiciels malveillants accède à des ressources sensibles selon la stratégie de défense contre les menaces mobiles de l’entreprise. En conséquence, l’accès serait refusé et une notification serait adressée à l’utilisateur final pour y remédier. Ces mesures permettent une productivité dans des paramètres raisonnables liés à la sécurité, tout en instillant cyber hygiène.

Chaque demande d’accès doit être déterminée dynamiquement. Il n’est pas utile d’évaluer un périphérique à des intervalles spécifiques, de stocker ces informations pour qu’il soit prêt pour la prochaine demande d’accès. Trop peut changer. Même au cours d’une session, un utilisateur peut télécharger une application suspecte, augmentant ainsi sa posture de risque. La rapidité d’exécution est la clé de l’évaluation des risques.

L’importance de l’identité dans le processus d’authentification étant importante, elle doit être associée à des évaluations des risques incluant l’utilisateur, le endpoint et le réseau sur lequel la demande d’accès est originaire. Un modèle de Zero trust éloigne la sécurité des hypothèses implicites: le simple fait qu’un employé ait été vérifié ne signifie pas que son appareil est dépourvu de menaces.

Les responsables de l’informatique et de la sécurité modernes doivent évaluer davantage que le périphérique, l’utilisateur et la conformité de leurs règles pour déterminer s’ils doivent ou non accorder l’accès aux applications et aux ressources de l’entreprise. Avec MTD, IAM et UEM offrent une voie d’accès à un modèle Zero Trust pour l’entreprise.