Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Zero Trust & Zero Touch : Sécuriser l’utilisation des dispositifs et proposer une expérience fluide aux utilisateurs

août 2020 par Florent Embarek, Regional Sales Director - Southern & Eastern Europe chez BlackBerry

Trouver le juste équilibre entre la facilité d’utilisation et la gestion des risques a toujours été une problématique centrale pour les équipes IT chargées de la sécurité. Elle s’est d’autant plus renforcée avec la généralisation du télétravail durant la crise sanitaire liée au Coronavirus.

D’après de récentes études, et pour s’adapter aux mesures sanitaires, 39% des salariés français étaient en télétravail durant le confinement et la moitié d’entre eux expérimentait cette forme de travail pour la première fois. Une transition rapide qui a eu un impact sur les process et donc plus largement sur la productivité des salariés. Alors, dans quelles mesures les nouvelles normes de sécurité, destinées à protéger aussi bien les systèmes que les données de l’entreprise, peuvent-elles perturber les professionnels dans leur activité ?

Un équilibre à trouver

Trouver l’équilibre entre praticité et sécurité est une problématique complexe à résoudre. Mais heureusement des technologies et outils existent, que ce soit dans un contexte de crise ou non. Ceci est une bonne nouvelle car, il y a encore peu de temps, productivité et expérience utilisateur étaient respectivement sacrifiées pour assurer la sécurité.

Il est évident que personne ne veut faire face à des problèmes de sécurité. Mais personne ne souhaite non plus être obligé de saisir un nom d’utilisateur et un mot de passe, pour ensuite répondre à de nombreuses questions de sécurité et fournir ses données biométriques pour effectuer ce qui devrait être une tâche simple et peu risquée. À l’inverse, si les équipes de sécurité venaient à rendre l’accès trop facile, les risques de sécurité deviendraient ingérables. Concrètement, nous ne devrions pas avoir à faire face à ce type de situation, mais ces problèmes récurrents restent une réalité.

En fait, l’objectif est ici de trouver un réel équilibre entre le Zero Touch et le Zero Trust. Comment s’assurer qu’une personne ou encore un dispositif est digne de confiance ? Traditionnellement, pour tout un ensemble d’applications, la règle d’accès ne repose que sur la saisie d’un identifiant et d’un mot de passe. En effet, dès lors qu’un utilisateur saisit ces informations il est, par défaut, considéré comme étant de confiance – et ce aussi longtemps qu’il reste connecté à sa session.

Mais ce modèle présente évidemment des faiblesses. Si un acteur malveillant parvient à obtenir les identifiants et mots de passe d’un utilisateur, la majorité des défenses deviennent alors inefficaces. Nous le savons tous, les mots de passe peuvent être facilement décryptés via des méthodes de brute-force ou encore de phishing par exemple. Même s’ils sont considérés comme « forts » et qu’une authentification à plusieurs facteurs est mise en place (AMF), il reste difficile de stopper un hacker une fois que celui-ci les a obtenus. C’est alors dans ce cas de figure qu’une approche Zero Trust prend tout son sens.

Maintenir un environnement Zero Trust sur l’ensemble du réseau d’entreprise

L’approche Zero Trust, qui concerne les fondements même du développement de logiciels, permet de résoudre certains problèmes au sein des infrastructures modernes. Aujourd’hui, les logiciels d’entreprises sont généralement développés à partir de centaines voire de milliers de composants en provenance de logiciels tiers. Il est alors souvent difficile de savoir si ces différents éléments sont sécurisés et s’il sera possible ou non pour un hacker d’en exploiter les failles pour installer un malware destiné à récupérer des informations d’identification. A l’heure actuelle, près de 11 000 vulnérabilités logicielles sont indexées dans la base de données américaine CVE (Common Vulnerabilities and Exploits)[1] et près de 30% d’entre elles ne semblent pas faire l’objet de correctif pour gérer le risque qui leur est associé.

Au fil du temps, les entreprises ont mis en place de nombreuses mesures pour atténuer les risques liés à ces vulnérabilités. Elles ont notamment intégré à leur stratégie d’accès des couches supplémentaires d’authentification comme l’envoi de codes uniques par SMS ou encore un système d’authentification biométrique. Les pare-feux, la mise en place de règles de sécurité, le cryptage et autres techniques de défense sont quant à elles mise à profit pour protéger les systèmes contre les attaques.

Si ces couches de sécurité contribuent à empêcher les accès non autorisés, elles sont aussi considérées comme des contraintes pour les utilisateurs. De plus, malgré tous les efforts déployés, les violations de données restent préoccupantes tant elles sont nombreuses. Il ne s’agit plus seulement de sécurité des données, mais bel est bien d’une problématique globale d’entreprise.

Souvent, les responsables SI freinent l’adoption de nouvelles applications, technologies ou d’autres initiatives de transformation numérique pouvant être bénéfiques pour l’entreprise sous prétexte qu’elles ne leur inspirent pas confiance en matière de sécurité. Cependant, avec le déploiement d’architectures Zero Trust associées à des stratégies dites Zero Touch, ils n’ont désormais plus à choisir entre sécurité et convivialité/performance. Un équilibre est alors possible. Et ceci est d’autant plus important lorsque les entreprises doivent maintenir leurs activités malgré un contexte épidémique difficile.

Associer Zero Touch et Zero Trust pour assurer une utilisation sécurisée

Mais qu’est-ce que le Zero Trust ? En clair, l’ensemble des utilisateurs, appareils et applications - tout ce qui interagit avec le réseau d’une organisation – doit être considéré, à tout moment, comme étant « à risque ». Toutes les interactions doivent être constamment vérifiées par une authentification continue afin d’assurer une vérification permanente. L’authentification continue s’appuie sur toutes les caractéristiques contextuelles d’une transaction où toutes les informations disponibles sur un utilisateur ou un appareil sont exploitées pour mesurer le risque de chaque interaction à chaque moment de la transaction.

L’architecture Zero Trust n’est pas basée sur un contrôle unique de l’utilisateur ou du dispositif à l’aide d’un mot de passe ou d’une AMF. C’est une évaluation dynamique continue des risques qui prend en compte tous les aspects d’une activité, les facteurs de localisation, les facteurs biométriques, etc. et qui reste totalement transparente pour l’utilisateur. Si une interaction présente un niveau de risque élevé ou des caractéristiques anormales, il sera demandé à l’utilisateur de fournir un autre facteur d’authentification sous peine de voir sa session être interrompue.

Par conséquent, les utilisateurs agréés bénéficient d’un accès presque sans effort à l’ensemble des dispositifs, systèmes et données tout au long de leur journée de travail, sans compromettre la sécurité de l’entreprise. Le véritable équilibre entre Zero Trust et Zero Touch est alors trouvé.

Zero Trust et Zero Touch en action

Comment atteindre cet équilibre ? En prenant en compte toutes les informations contextuelles qui existent concernant les utilisateurs et les appareils, en particulier s’ils sont déjà identifiés sur le réseau. L’analyse en temps réel de ces données est utilisée pour valider les modèles de comportement et de localisation afin de générer en permanence un score de risque. Ce même score permet de faire le lien avec les politiques de sécurité et de les adapter en fonction de la situation afin d’assurer la conformité sur le réseau. Le tout, en assurant une expérience fluide et transparente à l’utilisateur.

Le score de risque détermine, à chaque instant, le niveau d’accès pouvant être accordé à un utilisateur, un dispositif ou une application, en adaptant les contrôles de sécurité sans nuire à l’expérience et à la productivité. En pratique, cela signifie que tous les points de données se rapportant à un utilisateur peuvent être utilisés pour évaluer le risque qu’il génère - notamment au travers de ses actions et dans un certain contexte, et permettre l’adaptation du niveau de sécurité en conséquence. De cette façon, la plupart des interactions (qui sont généralement à faible risque), peuvent être Zero Touch et ne générer aucun obstacle pour l’utilisateur. En revanche, des contrôles d’accès supplémentaires peuvent être effectués si le niveau de risque est identifié comme étant élevé.

Finalement, la sécurité ne dépend pas uniquement de la validation unique des mots de passe. Même lorsque l’AMF est utilisée, l’authentification est limitée dans le temps et n’offre pas l’avantage de l’authentification continue Zero Touch. En résumé, l’authentification continue est le catalyseur d’une architecture Zero Trust permettant de proposer une expérience Zero Touch.




Voir les articles précédents

    

Voir les articles suivants