Pourquoi Zero Trust est indispensable aux entreprises modernes basées sur le cloud

La cybercriminalité se propage de plus en plus vite ces dernières années, malgré l’attention et les investissements croissants pour lutter contre ce phénomène. En 2022, par exemple, les dépenses consacrées aux solutions de sécurité best-of-breed et aux outils d’apprentissage automatique basés sur l’IA ont atteint un niveau record. Malgré le climat d’incertitude, Gartner s’attend à ce que les dépenses en matière de sécurité et de gestion des risques augmentent encore de 11 % cette année, pour atteindre un total de plus de 183 milliards de dollars.

Et pourtant... Les hackers continuent de contourner sans difficulté apparente nos mesures de sécurité de plus en plus strictes. Ce paradoxe s’explique en grande partie par une inadéquation entre nos pratiques de sécurité habituelles et l’évolution du paysage des cybermenaces. Le passage accéléré au télétravail et aux environnements de travail hybrides suite au COVID-19 a élargi de manière exponentielle le périmètre d’attaque des cybercriminels. En cause ? L’intégration de technologies cloud, d’applications tierces et d’autres services dans les opérations quotidiennes. Résultat ? Plus de vulnérabilités externes susceptibles d’être exploitées par le biais de campagnes d’ingénierie sociale et d’attaques de malware. L’empreinte digitale des organisations offre plus d’opportunités d’attaques que jamais, notamment grâce aux nouveaux outils de collaboration comme Slack et Microsoft Teams, et à la popularité croissante de toutes sortes d’appareils IoT distants.

Pour compliquer encore les choses, de nombreuses entreprises investissent dans des solutions conçues pour sécuriser des infrastructures complexes sur site, et non les actifs de données non structurées des écosystèmes reposant sur le cloud. Pour répondre à cette dynamique changeante, il est essentiel de passer des mécanismes de contrôle classiques basés sur le périmètre patrimonial à une architecture Zero Trust (ZTA) plus agile, qui empêche les hackers de causer des dommages irréparables en cas d’intrusion. Étant donné que les cybercriminels disposent de plus en plus de ressources et utilisent des méthodes toujours plus sophistiquées, le problème n’est pas de savoir si cela se produira, mais quand cela se produira.

Les fondements de la ZTA

La ZTA va au-delà d’éléments ou de contrôles concrets. Il s’agit d’une approche qui intègre la sécurité à chaque niveau de l’entreprise, avec des directives pour limiter les dommages de manière ciblée en cas d’intrusion. En éliminant la « confiance implicite » ainsi que les autorisations et accès qui en découlent, il devient beaucoup plus difficile d’occasionner des dommages au sein de l’écosystème digital de l’organisation par le biais d’un compte compromis. Il ne suffit cependant pas d’appuyer sur un bouton, la ZTA nécessite une refonte complète de l’architecture digitale et un nouveau mode de réflexion.

Les fondements de la ZTA comprennent l’identification et l’inventaire de tous les actifs de l’entreprise, la définition de la politique d’accès et l’endroit où la mettre en œuvre, ainsi que son application (et le contrôle de cette application). La ZTA n’est toutefois envisageable qu’en disposant d’une visibilité de bout en bout sur l’infrastructure digitale existante d’une organisation. Cela permet en effet de déterminer quels actifs sont les plus précieux pour les hackers et, sur cette base, de prévoir un niveau de sécurité adéquat. Tout dépend de l’environnement et des circonstances propres à chaque organisation.

Sécuriser un périmètre d’attaque hybride

De nombreuses entreprises qui sont passées d’un environnement de travail sur site à un environnement de travail hybride utilisent encore des Virtual Private Networks (VPN) qui fournissent aux utilisateurs un accès distant mais partagé à une multitude de terminaux et d’applications. Mais si un hacker parvient à pirater le bon compte avec les bonnes autorisations via un e-mail de phishing, ce VPN ne sert pas à grand-chose. Après avoir contourné le périmètre de sécurité limité, le hacker peut utiliser le compte compromis à sa guise pour subtiliser des données sensibles et les crypter à des fins d’extorsion.

En revanche, la situation serait très différente avec la ZTA : l’accès serait accordé à un utilisateur individuel à partir d’un Policy Decision Point (PDP ou point de décision de la politique), avec des droits minimaux comme point de départ. Dans ce cas, un système de Policy Enforcement Point (PEP ou point d’application de la politique), qui surveille en permanence l’activité du compte, serait déjà actif pour détecter les comportements suspects et mettre fin à la session en temps réel, minimisant ainsi l’impact de l’intrusion. Les systèmes PDP et PEP déterminent l’accès aux différents actifs pour chaque session, en fonction de certains critères essentiels.

La ZTA, porteuse d’espoir

Conclusion ? Les hackers réussissent (beaucoup trop) bien à attaquer les entreprises modernes. Malgré la croissance organisationnelle et les mises en œuvre infrastructurelles, suivies de nouveaux mécanismes et procédures de sécurité, les cybercriminels continuent de trouver de nouvelles vulnérabilités à exploiter. Les évolutions de ces dernières années en matière de technologies de l’information et d’architecture d’entreprise ne font qu’aggraver la situation. La ZTA offre toutefois une lueur d’espoir. Les entreprises aux ressources, systèmes et apps étendus, et disposant de données globales, ont besoin d’un modèle de sécurité capable d’évoluer avec l’organisation, sans entraver cette croissance ni créer de brèche pour les hackers.

Matt Bromiley est instructeur certifié SANS et consultant principal en réponse aux incidents chez un acteur majeur de la criminalistique numérique et de la réponse aux incidents.