Publié le 27/07/2021 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
L'architecture Zero Trust offre un moyen toujours plus populaire de minimiser les cyber-risques dans le monde du cloud hybride, du travail flexible et de menaces persistantes
La normale post-pandémique pour les organisations mondiales signifie l’utilisation accrue de la technologie numérique pour soutenir des modes de travail plus flexibles. Si des géants de la technologie tels que Twitter et Facebook ont fait la une en promettant à certains employés qu'ils pourraient définitivement travailler à domicile, pour la plupart des employeurs la réalité est nettement plus prosaïque. Plus de 60% des entreprises envisagent un lieu de travail hybride qui impliquera que les employés soient à la maison une partie de la semaine et quelques jours au bureau et cela entraînera de nouveaux risques cybernétiques.
La bonne nouvelle : c'est pour cela que le modèle Zero Trust a été développé. Déjà mandaté par un décret présidentiel pour les agences fédérales américaines, il offre un moyen toujours plus populaire de minimiser les risques dans un monde de cloud hybride, de télétravail et de menace persistants
Les défis de la protection du lieu de travail hybride
Aujourd’hui, les RSSI sont soumis à une pression incroyable pour protéger les données IP et clients sensibles contre le vol et les systèmes critiques contre les interruptions de service. Malgré des dépenses accrues en sécurité, les violations continuent de s'intensifier. Aujourd’hui, en moyenne, le coût de violations de données approche les 3,9 millions de dollars US par incident. Les entreprises ne les découvrent et n’y remédient généralement qu’après des centaines de jours.
L'arrivée massive du télétravail et du lieu de travail hybride, avantagent encore plus les acteurs de menaces. Les organisations sont menacées dans divers domaines :
• Télétravailleurs distraits et donc plus susceptibles de cliquer sur des liens d'hameçonnage
• Télétravailleurs utilisant des laptops personnels, des appareils mobiles, des réseaux et appareils domestiques intelligents, potentiellement non sécurisés
• VPN vulnérables et autres logiciels non corrigés utilisés sur des systèmes domestiques
• Endpoints RDP mal configurés, pouvant être piratés via des mots de passe déjà violés ou faciles à déchiffrer - ESET a signalé 140% d’augmentation en attaques RDP au troisième trimestre 2020
• Services cloud avec contrôles d'accès faibles (mots de passe faibles et sans authentification multi facteur)
Pourquoi Zero Trust ?
En 2009, Forrester a développé le Zero Trust Model, un nouveau modèle de sécurité de l’information - largement accepté et adopté. Il est conçu pour un monde où les vieilles certitudes de ‘placer toutes les ressources de sécurité dans le périmètre et avoir confiance en tout à l'intérieur’, ne sont plus pertinentes. C'est le monde dans lequel nous vivons aujourd'hui grâce au télétravail et à l'ubiquité du cloud. Zero Trust, par contre, est basé sur le mantra « ne jamais faire confiance, toujours vérifier » afin d’aider à réduire l'impact des violations. En pratique, il y a trois principes sous-jacents :
1) Tous les réseaux doivent être traités comme non fiables - les réseaux domestiques, Wi-Fi publics (dans les aéroports, les cafés, etc.) et même les réseaux d'entreprise sur site. Les cybercriminels sont bien trop déterminés pour qu’on puisse supposer qu'il y ait encore des espaces sûrs.
2) Le moindre privilège - Si tous les réseaux ne sont pas fiables, les utilisateurs ne le sont pas non plus. On ne peut jamais garantir qu'un compte n'a pas été piraté ou qu'un utilisateur n'est pas un initié malveillant. Cela signifie accorder aux employés juste assez de privilèges pour faire le travail, puis vérifier régulièrement les droits d'accès et supprimer ceux qui ne sont plus appropriés.
3) Assumer une brèche - Chaque jour, nous entendons parler d'une nouvelle brèche de sécurité. En maintenant une mentalité alerte, les organisations seront vigilantes et continueront à améliorer leurs défenses avec un état d'esprit Zero Trust résilient. Les violations sont inévitables – mais il faut en réduire l’impact.
L’évolution de Zero Trust
Lorsqu’en 2009 Zero Trust a été créé, c'était un modèle fortement centré sur le réseau. Au fil du temps, il s'est transformé en un écosystème complet. En son centre on trouve les données critiques ou les processus métier qui doivent être protégés. Ils se trouvent entourés par quatre éléments clés : les personnes pouvant accéder à ces données, les appareils qui les stockent, les réseaux qu'elles traversent et les charges de travail qui les traitent.
Forrester y a ajouté une autre couche cruciale : l'automatisation et l'orchestration, ainsi que la visibilité et l'analyse. Ces éléments intègrent tous les contrôles de défense en profondeur nécessaires pour prendre en charge Zero Trust.
Dans cette nouvelle itération, Zero Trust est un moyen idéal pour atténuer les risques d'un lieu de travail hybride - un environnement aux périmètres fluides, les travailleurs distribués doivent être continuellement authentifiés et les réseaux sont segmentés pour réduire le potentiel de propagation des menaces. Au cours de la pandémie, il est devenu évident que, dans de nombreux cas, les VPN étaient incapables de supporter un grand nombre de télétravailleurs tant en termes de trafic entrant qu’en déploiement de correctifs à la sortie. Ils sont aussi toujours plus la cible à part entière, lorsqu’ils ne sont pas corrigés et restent sous-protégés. A long terme, Zero Trust est une meilleure option.
Comment démarrer avec Zero Trust
Les dernières données suggèrent que près des trois quarts (72 %) des organisations prévoient (42 %) ou ont déjà déployé (30 %) Zero Trust. La bonne nouvelle : pour y arriver, il n'est pas nécessaire d'effectuer un gros effort de remplacement.
Il se peut même que vous utilisez déjà de nombreux outils et techniques nécessaires pour démarrer. Il s'agit des éléments suivants :
Personnes : contrôles d'accès basés sur les fonctions, authentification multi facteur, séparation des comptes.
Charges de travail : la plupart des fournisseurs de cloud ont intégré des contrôles. Les organisations doivent les utiliser pour réduire l'accès aux différentes charges de travail et mettre en place de bonnes politiques.
Appareils : la gestion des actifs vous aidera à comprendre ce dont vous disposez. Utilisez ensuite l’endpoint detection & response (EDR), les pare-feu basés sur l'hôte et plus encore pour protéger ces actifs et empêcher les mouvements latéraux.
Réseaux : ici, la micro-segmentation est essentielle. Utilisez des périphériques tels que des routeurs et des commutateurs combinés avec des listes de contrôle d'accès (ACL) pour limiter qui peut parler et de quoi, aux différentes parties du réseau. La gestion des vulnérabilités est également importante.
Données : classez vos données et appliquez le chiffrement à celles qui sont les plus sensibles au repos et en transit. La surveillance de l'intégrité des fichiers et la prévention de la perte de données peuvent également aider à sécuriser celles-ci.
Pour terminer, il convient d'ajouter des capacités gestion et d'automatisation de la sécurité ainsi que d'analyse des données. Cela apporte la connaissance de la situation dont les équipes de gestion sécuritaire ont besoin pour faire un travail efficace.
La normale post-pandémique pour les organisations mondiales signifie l’utilisation accrue de la technologie numérique pour soutenir des modes de travail plus flexibles. Si des géants de la technologie tels que Twitter et Facebook ont fait la une en promettant à certains employés qu'ils pourraient définitivement travailler à domicile, pour la plupart des employeurs la réalité est nettement plus prosaïque. Plus de 60% des entreprises envisagent un lieu de travail hybride qui impliquera que les employés soient à la maison une partie de la semaine et quelques jours au bureau et cela entraînera de nouveaux risques cybernétiques.
La bonne nouvelle : c'est pour cela que le modèle Zero Trust a été développé. Déjà mandaté par un décret présidentiel pour les agences fédérales américaines, il offre un moyen toujours plus populaire de minimiser les risques dans un monde de cloud hybride, de télétravail et de menace persistants
Les défis de la protection du lieu de travail hybride
Aujourd’hui, les RSSI sont soumis à une pression incroyable pour protéger les données IP et clients sensibles contre le vol et les systèmes critiques contre les interruptions de service. Malgré des dépenses accrues en sécurité, les violations continuent de s'intensifier. Aujourd’hui, en moyenne, le coût de violations de données approche les 3,9 millions de dollars US par incident. Les entreprises ne les découvrent et n’y remédient généralement qu’après des centaines de jours.
L'arrivée massive du télétravail et du lieu de travail hybride, avantagent encore plus les acteurs de menaces. Les organisations sont menacées dans divers domaines :
• Télétravailleurs distraits et donc plus susceptibles de cliquer sur des liens d'hameçonnage
• Télétravailleurs utilisant des laptops personnels, des appareils mobiles, des réseaux et appareils domestiques intelligents, potentiellement non sécurisés
• VPN vulnérables et autres logiciels non corrigés utilisés sur des systèmes domestiques
• Endpoints RDP mal configurés, pouvant être piratés via des mots de passe déjà violés ou faciles à déchiffrer - ESET a signalé 140% d’augmentation en attaques RDP au troisième trimestre 2020
• Services cloud avec contrôles d'accès faibles (mots de passe faibles et sans authentification multi facteur)
Pourquoi Zero Trust ?
En 2009, Forrester a développé le Zero Trust Model, un nouveau modèle de sécurité de l’information - largement accepté et adopté. Il est conçu pour un monde où les vieilles certitudes de ‘placer toutes les ressources de sécurité dans le périmètre et avoir confiance en tout à l'intérieur’, ne sont plus pertinentes. C'est le monde dans lequel nous vivons aujourd'hui grâce au télétravail et à l'ubiquité du cloud. Zero Trust, par contre, est basé sur le mantra « ne jamais faire confiance, toujours vérifier » afin d’aider à réduire l'impact des violations. En pratique, il y a trois principes sous-jacents :
1) Tous les réseaux doivent être traités comme non fiables - les réseaux domestiques, Wi-Fi publics (dans les aéroports, les cafés, etc.) et même les réseaux d'entreprise sur site. Les cybercriminels sont bien trop déterminés pour qu’on puisse supposer qu'il y ait encore des espaces sûrs.
2) Le moindre privilège - Si tous les réseaux ne sont pas fiables, les utilisateurs ne le sont pas non plus. On ne peut jamais garantir qu'un compte n'a pas été piraté ou qu'un utilisateur n'est pas un initié malveillant. Cela signifie accorder aux employés juste assez de privilèges pour faire le travail, puis vérifier régulièrement les droits d'accès et supprimer ceux qui ne sont plus appropriés.
3) Assumer une brèche - Chaque jour, nous entendons parler d'une nouvelle brèche de sécurité. En maintenant une mentalité alerte, les organisations seront vigilantes et continueront à améliorer leurs défenses avec un état d'esprit Zero Trust résilient. Les violations sont inévitables – mais il faut en réduire l’impact.
L’évolution de Zero Trust
Lorsqu’en 2009 Zero Trust a été créé, c'était un modèle fortement centré sur le réseau. Au fil du temps, il s'est transformé en un écosystème complet. En son centre on trouve les données critiques ou les processus métier qui doivent être protégés. Ils se trouvent entourés par quatre éléments clés : les personnes pouvant accéder à ces données, les appareils qui les stockent, les réseaux qu'elles traversent et les charges de travail qui les traitent.
Forrester y a ajouté une autre couche cruciale : l'automatisation et l'orchestration, ainsi que la visibilité et l'analyse. Ces éléments intègrent tous les contrôles de défense en profondeur nécessaires pour prendre en charge Zero Trust.
Dans cette nouvelle itération, Zero Trust est un moyen idéal pour atténuer les risques d'un lieu de travail hybride - un environnement aux périmètres fluides, les travailleurs distribués doivent être continuellement authentifiés et les réseaux sont segmentés pour réduire le potentiel de propagation des menaces. Au cours de la pandémie, il est devenu évident que, dans de nombreux cas, les VPN étaient incapables de supporter un grand nombre de télétravailleurs tant en termes de trafic entrant qu’en déploiement de correctifs à la sortie. Ils sont aussi toujours plus la cible à part entière, lorsqu’ils ne sont pas corrigés et restent sous-protégés. A long terme, Zero Trust est une meilleure option.
Comment démarrer avec Zero Trust
Les dernières données suggèrent que près des trois quarts (72 %) des organisations prévoient (42 %) ou ont déjà déployé (30 %) Zero Trust. La bonne nouvelle : pour y arriver, il n'est pas nécessaire d'effectuer un gros effort de remplacement.
Il se peut même que vous utilisez déjà de nombreux outils et techniques nécessaires pour démarrer. Il s'agit des éléments suivants :
Personnes : contrôles d'accès basés sur les fonctions, authentification multi facteur, séparation des comptes.
Charges de travail : la plupart des fournisseurs de cloud ont intégré des contrôles. Les organisations doivent les utiliser pour réduire l'accès aux différentes charges de travail et mettre en place de bonnes politiques.
Appareils : la gestion des actifs vous aidera à comprendre ce dont vous disposez. Utilisez ensuite l’endpoint detection & response (EDR), les pare-feu basés sur l'hôte et plus encore pour protéger ces actifs et empêcher les mouvements latéraux.
Réseaux : ici, la micro-segmentation est essentielle. Utilisez des périphériques tels que des routeurs et des commutateurs combinés avec des listes de contrôle d'accès (ACL) pour limiter qui peut parler et de quoi, aux différentes parties du réseau. La gestion des vulnérabilités est également importante.
Données : classez vos données et appliquez le chiffrement à celles qui sont les plus sensibles au repos et en transit. La surveillance de l'intégrité des fichiers et la prévention de la perte de données peuvent également aider à sécuriser celles-ci.
Pour terminer, il convient d'ajouter des capacités gestion et d'automatisation de la sécurité ainsi que d'analyse des données. Cela apporte la connaissance de la situation dont les équipes de gestion sécuritaire ont besoin pour faire un travail efficace.