Renforcer la cyberrésilience grâce aux modèles de confiance zéro

La confiance zéro est un cadre de sécurité qui exige une vérification en continu pour chaque utilisateur et chaque appareil essayant d’accéder à des ressources, quel que soit leur emplacement. Alors que les modèles de sécurité traditionnels reposent sur des défenses périmétriques, qui peuvent être plus faciles à déjouer, la confiance zéro impose des contrôles d’accès rigoureux et une surveillance continue pour mieux protéger contre les défis actuels en matière de sécurité.

La confiance zéro aide les organisations à prévenir les attaques multivariables, et le choix de ne pas l’intégrer rend votre organisation plus vulnérable. Par exemple, en cas d’attaque par rançongiciel sur un réseau démuni d’une architecture de confiance zéro, les logiciels malveillants se propagent, profitant du manque de segmentation. De même, en l’absence d’un modèle de confiance zéro, des initiés malveillants peuvent exploiter leur droit de naissance et leur accès privilégié pour commettre des actes préjudiciables.

En raison des progrès technologiques, de l’infonuagique, du travail à distance et de l’évolution du paysage des menaces, la confiance zéro est devenue une solution de plus en plus pratique. Les cadres et les lignes directrices d’organismes tels que le National Institute of Standards and Technology (NIST) ont également contribué à son adoption. La confiance zéro permet aux organisations de répondre à des exigences de conformité de plus en plus rigoureuses, comme le règlement général sur la protection des données (RGPD) et la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La confiance zéro ne se limite pas à un déploiement de technologie. C’est une transformation permettant de se préparer à l’avenir qui implique, outre la technologie, les personnes et les processus. Les principes de la confiance zéro aident les organisations à protéger ce qui compte le plus, notamment les actifs numériques les plus précieux, la confiance des clients et l’intégrité de la marque. Ils réduisent le risque et l’incidence des attaques par rançongiciel et des violations de données en procurant une protection contre des vecteurs tels que les menaces internes, les mouvements latéraux, les justificatifs d’identité compromis, l’hameçonnage, l’accès à distance non autorisé, les compromissions de dispositifs et les risques liés à la chaîne d’approvisionnement et à l’accès par des tiers.

Dans notre récent sondage Global Digital Trust InsightsS’ouvre dans une nouvelle fenêtre, seulement 2 % des personnes interrogées dans le monde ont affirmé que leur organisation a mis en œuvre des mesures de cyberrésilience. Outil essentiel pour renforcer la cyberrésilience, la confiance zéro permet de le faire d’une manière qu’on ne peut tout simplement pas envisager avec les stratégies traditionnelles de sécurité des réseaux. Pour commencer ce parcours, les chefs de la sécurité de l’information (CSI) doivent comprendre les principes de la confiance zéro et la façon dont ils peuvent être intégrés dans la stratégie de cybersécurité de base de leur organisation.

Moins de la moitié des dirigeants qui ont participé à notre sondage (tant à l’échelle mondiale qu’au Canada) déclarent que le CSI de leur organisation intervient dans une large mesure dans la planification stratégique, les rapports au conseil d’administration et la supervision des déploiements de technologies. Or, dans l’intégration de la confiance zéro, la communication des raisons d’adoption de ces principes, au sein de la haute direction ainsi qu’entre le CSI et le reste de la hiérarchie, joue un rôle essentiel.

La confiance zéro crée un écosystème, au sein duquel les personnes et les processus doivent être alignés. La participation de la haute direction et des cadres au processus de planification et de mise en œuvre de la confiance zéro permet de s’assurer que l’initiative reçoit le soutien et les ressources nécessaires et favorise une culture de la sécurité. Cette collaboration renforce la confiance, de la part des clients et vis-à-vis de la marque, en démontrant un engagement en faveur de mesures de sécurité robustes, et permet à l’organisation d’innover en prenant moins de risques.

Votre organisation est prête à repenser ses méthodologies de sécurité traditionnelles et à adopter une stratégie de confiance zéro? Voici les cinq principaux éléments que votre CSI doit prendre en compte :

1. Faire de la gestion des identités et des accès l’élément central

Le concept de périmètre basé sur l’identité est au cœur d’une stratégie de confiance zéro. Les organisations doivent appliquer le principe du moindre privilège en authentifiant en permanence chaque demande d’accès, y compris celles émanant de tiers, sur la base d’informations contextuelles et de la surveillance des schémas d’activité des utilisateurs. Les principales mesures à prendre sont les suivantes :

• Vérifier les utilisateurs en mettant en œuvre l’authentification multifactorielle (AMF) et l’authentification sans mot de passe.

• Appliquer le concept d’accès de moindre privilège pour autoriser ou refuser l’accès aux ressources sur la base d’une combinaison de facteurs contextuels liés à l’identité, au réseau, aux données, à l’appareil et à l’application.

• Vérifier en permanence l’identité de l’utilisateur et de l’appareil en fonction des facteurs de risque et prendre des décisions d’accès qui tiennent compte de la cote de risque. 

2. Développer une visibilité étendue et des données d’analyse exhaustives

Pour chaque demande d’accès, les organisations doivent comprendre le contexte en analysant les événements, les activités et les comportements, et tirer parti de l’intelligence artificielle (IA). L’objectif est de parvenir à un modèle qui améliore la détection et la vitesse de réaction pour prendre des décisions d’accès en temps réel. Les principales mesures à prendre sont les suivantes :

• Obtenir une visibilité en temps réel des utilisateurs, des appareils et des applications.

• Utiliser des données d’analyse de sécurité générées par l’IA pour détecter les anomalies et les menaces potentielles.

• Utiliser l’IA pour surveiller et analyser le trafic réseau chiffré et non chiffré.

• Mettre en œuvre la journalisation et la surveillance dans les environnements infonuagiques, locaux et hybrides.

3. Déployer la microsegmentation et le principe du moindre privilège

La microsegmentation permet d’isoler les charges de travail et les applications critiques des accès non autorisés. Toutefois, sa mise en œuvre peut s’avérer délicate, car il est difficile de définir des politiques d’accès dans des environnements multiples et de cartographier les dépendances entre les applications, les utilisateurs et les services. En outre, la plupart des systèmes existants n’ont pas été conçus pour la microsegmentation. Les principales mesures à prendre sont les suivantes : 

• Utiliser des outils de découverte automatisée du réseau pour cartographier les dépendances et définir progressivement des politiques de segmentation.

• Mettre en œuvre des outils d’automatisation des politiques pour rationaliser l’application des règles.

• Déployer des outils de détection et de réponse du réseau pour une visibilité et une détection des anomalies en temps réel.

• Mettre en œuvre des outils de surveillance continue pour automatiser les contrôles de conformité.

4. Appliquer les mesures de sécurité pour les appareils et les points d’accès

Les CSI doivent mettre en œuvre des outils pour surveiller, détecter et contrer les activités malveillantes ciblant les appareils en intégrant la visibilité à l’échelle du réseau et les capacités d’orchestration de la défense. Les principales mesures à prendre sont les suivantes :

• Rendre obligatoire la vérification de posture des appareils avant d’autoriser l’accès.

• Mettre en œuvre des systèmes de détection et de réponse pour les terminaux (EDR) et de détection et de réponse étendues (XDR). 

• Contrôler en permanence et faire respecter la conformité sur les appareils gérés et non gérés.

5. Privilégier la vérification en continu et les politiques adaptatives

L’organisation doit employer des méthodes de contrôle axées sur des politiques adaptatives. S’ajustant à l’évolution en temps réel des risques au sein de l’environnement, ces méthodes automatisent les réponses de sécurité selon des processus définis et des politiques de sécurité alimentées par l’IA pour prendre des mesures de blocage et forcer des mesures correctives. Les principales mesures à prendre sont les suivantes :

• Passer d’un modèle statique basé sur le périmètre à une approche dynamique fondée sur les risques.

• Utiliser des politiques adaptatives qui s’ajustent en fonction des signaux de risque en temps réel.

• Évaluer en permanence les niveaux de confiance au moyen d’une analyse automatisée des données sur les risques et des comportements.

Comme pour toute autre transformation à grande échelle, il peut y avoir des obstacles organisationnels importants à surmonter lors de la mise en œuvre de la confiance zéro. Les défis que nous rencontrons sont souvent liés à l’inertie de l’organisation, au coût et à la portée du projet. Pour garantir la réussite de la mise en œuvre, il faut que toutes les parties prenantes, y compris le conseil d’administration, soient associées au projet, s’alignent sur les principes et comprennent comment des changements se répercuteront sur les processus et les ressources, ainsi que sur leurs responsabilités quotidiennes.

Il est souvent préférable de mettre en œuvre la confiance zéro par étapes, en commençant par les secteurs à haut risque et en l’étendant progressivement à l’ensemble de l’organisation. Une telle approche est à la fois plus facile à gérer et plus rentable. De plus, avant d’allouer de nouveaux budgets, les CSI doivent tirer parti des ressources et des investissements existants. Pour ce faire, il faut notamment utiliser les outils et les technologies actuels soutenant les principes de la confiance zéro et de les intégrer dans l’architecture de sécurité globale.

Les CSI doivent également s’assurer que les critères de sécurité font partie de tout processus d’approvisionnement. Lors du partage de données organisationnelles critiques avec un fournisseur tiers, il est important que ce dernier respecte l’architecture de confiance zéro afin d’assurer le maintien de la posture de cybersécurité.

En avançant dans leur parcours confiance zéro, les CSI doivent impérativement utiliser des indicateurs de performance et des mesures clairs pour évaluer le rendement du capital investi. L’objectif est de suivre les progrès et l’empreinte des capacités engagées pour s’assurer que les investissements s’alignent sur les objectifs de l’entreprise et apportent des avantages tangibles. 

Évaluer les contrôles de confiance zéro de votre organisation

Il existe de nombreux contrôles de confiance zéro dont les organisations peuvent confier l’essai à leurs équipes rouges. Dans le domaine de la gestion des identités et des accès, les indicateurs clés de performance (ICP) comprennent le taux d’adoption de l’AMF, l’efficacité de la gestion des accès privilégiés, le taux de réussite de la vérification de l’identité et le nombre de tentatives de connexion infructueuses et de comptes inactifs ou orphelins.

En ce qui concerne la sécurité des appareils, les ICP comprennent le nombre d’appareils non gérés, ainsi que les taux de conformité des terminaux, la réussite de l’évaluation de la posture des appareils et la détection des appareils vulnérables. Dans le domaine du réseau et de la microsegmentation, les ICP incluent les tentatives de mouvement latéral non approuvé, la conformité à la politique de segmentation, le volume de trafic chiffré et le taux d’application de la politique de confiance zéro.

Dans le domaine de la sécurité des applications et des données, les ICP comprennent les taux de détection d’incidents liés à la prévention de la perte de données et de menaces internes, les refus de demande d’accès et les tentatives d’hameçonnage réussies. Pour ce qui est de la détection des menaces et de la réponse, les ICP comprennent les délais moyens de détection et de réponse, ainsi que les taux de faux positifs et de détection des menaces internes. Enfin, dans le domaine du comportement et de la sensibilisation des utilisateurs, les ICP incluent la réussite des simulations d’hameçonnage, l’achèvement de la formation à la sécurité des utilisateurs et les taux de détection des comportements anormaux.