Flexible Security for Your Peace of Mind

Le Zéro Trust pour les nuls : comment protéger votre organisation d’une attaque informatique

Zero Trust vient de l’anglais et peut se traduire par « zéro confiance ». On a déjà vu plus fédérateur pour parler de la mentalité d’une entreprise n’est-ce pas ? Chez Specops, cela ne signifie pas que nous craignons que nos collègues volent nos yaourts dans le frigo commun. Cela signifie que nous verrouillons toujours nos ordinateurs avant de quitter une pièce, au bureau comme à la maison.

Que signifie « zero trust » ?

Clay Kirkland, spécialiste des produits Specops, décrit une politique zéro trust comme ceci : « Vérifier d’abord, faire confiance ensuite».

L’idée de baser votre cybersécurité sur le principe de zéro trust signifie qu’il n’y a pas de place pour l’erreur humaine. Il s’agit d’un mécanisme défensif visant à éliminer la confiance implicite et à valider chaque étape de l’intéraction numérique. Ainsi, il n’y aura jamais de confusion quant à l’identité de vos utilisateurs finaux, que ce soit par voie numérique, par téléphone ou même en personne. Cela peut sembler extrême, mais peut protéger votre organisation d’une cyberattaque désastreuse, ou empêcher un piratage encore plus invasif aux conséquences lourdes.

Ce principe comporte des éléments pratiques qui se conjuguent pour soutenir l’idée que rien n’est présumé et que tout est vérifié. Quelques éléments technologiques incluent des pratiques que vous avez peut-être déjà mises en place dans votre organisation, comme les mots de passe, l’authentification multifacteurs, la vérification par helpdesk, etc.

C’est comme lorsque vous parlez à votre banque au téléphone et que, même si vous appelez depuis un numéro de portable connu, on vous demande le deuxième prénom de votre père et les quatre derniers chiffres de votre numéro de sécurité sociale – toutes ces précautions supplémentaires favorisent un modèle de sécurité zéro trust et, en fin de compte, empêchent les cyberattaques.

Les 3 principes d’un modèle de sécurité zéro trust

Il existe trois grands principes d’une infrastructure zéro trust à avoir dans votre trousse à outils de cybersécurité: Ils vous permettront d’expliquer l’application d’une politique zéro trust en interne.

  1. Vérifier explicitement

La vérification peut être délicate, et lorsqu’il s’agit de zero trust, il est préférable de laisser les robots s’en charger. Cela permet de décharger le personnel du helpdesk en refusant d’utiliser toute méthode de vérification qui n’est pas explicitement automatisée. L’idée derrière ce principe est qu’il n’y a aucune place pour l’erreur, la manipulation ou l’usurpation d’identité.

La mise en œuvre la plus courante de la vérification explicite est l’authentification multifacteurs (MFA). L’utilisation de la MFA pour vérifier l’identité de vos utilisateurs peut sembler fastidieuse, mais en quelques clics seulement elles peuvent être vérifiées. Tout le monde sera ainsi rassuré en sachant que l’accès est plus sécurisé.

  • Accès les moins privilégiés par défaut

Bien que cela puisse faire dresser les cheveux sur la tête à certains, l’accès par défaut le plus faible possible est un élément important de la mise en œuvre de zéro trust. La curiosité, ou même une fonction haut placée, n’est pas une raison valable pour accorder à quelqu’un un accès complet à des actifs tels que les données, les archives ou les finances (pour n’en citer que quelques-uns).

Chaque utilisateur ne doit recevoir que les accès nécessaires à l’accomplissement de sa tâche, ce que l’on appelle communément l’accès juste-à-temps et juste suffisant (JIT/JEA). Ce n’est pas aussi extrême que cela en a l’air : la plupart des utilisateurs n’auront même pas conscience de ce qu’ils ne voient pas.

L’idée est qu’en cas de violation, les informations dont un pirate pourra disposer seront limitées. En outre, cela déleste vos utilisateurs finaux d’une partie de leurs responsabilités, puisqu’ils n’assurent la confidentialité que d’un petit nombre de données. Voyez cela comme une habilitation de sécurité accordée par un gouvernement : votre organisation doit être structurée de manière que les accès les plus sûrs soient réservés au niveau d’habilitation le plus élevé.

N’oubliez pas que cela concerne aussi le personnel informatique : si vous n’avez pas besoin de l’information pour faire votre travail, elle ne doit pas être à portée de main. La plupart des organisations font la différence entre les agents du helpdesk de premier niveau et les administrateurs de réseau.

  • Partez du principe qu’il existe une violation

Cet aspect peut être difficile à faire comprendre au sein de votre organisation, mais il consiste essentiellement à agir chaque jour comme s’il y avait un pirate actif dans votre système. Cela peut commencer à la base par l’application du principe de l’accès faible par défaut afin de minimiser les dégâts d’une violation grâce aux accès segmentés que vous avez mis en place.

De l’hypothèse d’une violation active à tout moment découle également la nécessité de vérifier le cryptage de bout en bout et d’utiliser des analyses pour surveiller les menaces et mettre à jour de manière proactive vos efforts de défense. Votre département IT doit ressembler à une unité antiterroriste, la surveillance et la préparation du réseau devant être les priorités quotidiennes.

Les domaines de mise en œuvre pratique d’une politique de zéro trust

Identités

L’authentification de l’utilisateur constitue une part importante de la sécurité de l’identité, et la MFA est essentielle à une mise en œuvre robuste d’une politique zéro trust. La sécurité du helpdesk peut introduire un niveau supplémentaire de protection. Les attaques fondées sur l’identification constituent l’épine dorsale de l’ingénierie sociale, qui représente 98 % de la cybercriminalité.

Il est également important de ne pas oublier la sécurité de votre matériel. Voici un complément d’information fourni par Sepio Systems sur la façon de s’assurer que votre réseau matériel n’entrave pas vos efforts de cybersécurité.

Relations avec les tiers

Il est important de savoir exactement avec qui vous faites affaire. Lors de la conclusion de contrats avec des fournisseurs, des prestataires et même lors d’une embauche, assurez-vous d’enquêter sur les systèmes informatiques parallèles, de revérifier les autorisations et de contrôler les accès.

Renseignez-vous minutieusement à propos des systèmes informatiques de vos fournisseurs pour détecter tout risque potentiel et n’hésitez pas à poser les questions difficiles. S’il n’y a rien à cacher, il ne devrait pas être difficile d’y répondre.

Dans vos données

Assurez-vous que vos données soient cartographiées en tenant compte de leur facilité d’accès. Posez les questions difficiles à vos parties prenantes, par exemple « qui ont besoin de ces informations » et « pourquoi ». Ensuite, assurez-vous que vos données soient classées par catégories et utilisez des restrictions d’accès pour les informations sensibles.

Veillez à identifier les points faibles dans le flux de données et efforcez-vous de mettre en œuvre un cryptage de bout en bout dans les trois principales étapes : au repos, en transit et en cours d’utilisation.

L’ensemble de votre infrastructure

Vous devez surveiller l’ensemble de votre infrastructure pour bloquer et signaler automatiquement les comportements à risque détectés. Cela peut commencer par la mise en œuvre pratique des accès les plus restreints par défaut, mais s’étend à toutes les facettes de votre organisation – routeurs et autres matériels, cloud, IoT et chaînes d’approvisionnement.

La sécurisation des terminaux au sein de votre infrastructure constitue une part importante de la sécurité des données. La mise en place de dispositifs d’arrêt aux points de terminaison peut éviter l’intensification d’une attaque. Voici un excellent article de Palo Alto Networks sur la sécurité des points de terminaison.

Zero trust dans le helpdesk

L’un des moyens les plus simples d’entamer votre restructuration vers un modèle zéro trust est de commencer par le helpdesk. Les utilisateurs finaux font appel au helpdesk pour de nombreux problèmes informatiques, mais ceux qui présentent le plus grand risque pour votre organisation sont ceux qui mettent en jeu une autorisation d’accès, comme la réinitialisation d’un mot de passe et le déblocage de comptes verrouillés.

Si votre organisation n’applique pas le principe de zéro trust au helpdesk, elle risque de subir une attaque par ingénierie sociale. La sécurité d’une organisation est en définitive entre les mains des utilisateurs et du personnel informatique. Des logiciels tels que Specops Secure Service Desk peuvent aider à s’assurer que les utilisateurs et les techniciens du helpdesk respectent les exigences de sécurité de l’organisation en matière de zéro trust. Ils peuvent éliminer les approximations dans la vérification de l’identité de l’utilisateur final en utilisant des exigences MFA automatisées.

L’utilisation d’un logiciel pour faciliter la mise en œuvre des principes de zéro trust évite au helpdesk IT de donner une impression de suspicion envers les utilisateurs finaux – nous pouvons simplement reprocher aux protocoles les obstacles supplémentaires à franchir. L’utilisation d’un logiciel pour intégrer la vérification par le helpdesk à votre infrastructure de sécurité permet également de renforcer la collecte des données relatives aux appels du helpdesk, de réduire les erreurs humaines et de montrer aux partenaires intéressés que vous prenez la cybersécurité au sérieux.

Voici les dernières informations publiées sur le blog de Specops sur ce qui peut arriver lorsque votre service d’assistance n’est pas sécurisé.

(Dernière mise à jour le 25/05/2022)

Revenir sur le blog