La sécurité « Zero Trust » 2.0 : ce qu’il faut savoir
Les avancées technologiques continuent à accroître la connectivité virtuelle de plus en plus étonnamment chaque jour. Des services qui semblaient autrefois relégués au monde de la science-fiction, comme les visites virtuelles chez le médecin, sont désormais monnaie courante. Nombre de ces innovations doivent leur existence à Internet et aux moyens apparemment illimités dont on dispose pour s’y connecter, grâce à une multitude d’appareils.
Bien qu’Internet ait sans aucun doute rendu la vie des gens plus simple et plus productive, l’autoroute de l’information a également ouvert la porte aux attaques des cybercriminels. Quelques statistiques peu rassurantes soulignent l’ampleur de la problématique. Par exemple, aux États-Unis, plus d’un tiers des consommateurs ont été victimes de violations des données en 2020. En outre, plus de 30 000 sites Internet sont piratés chaque jour et 78 % de l’ensemble des entreprises et organismes ont été victimes d’une cyberattaque dans la dernière année.
Aussi stupéfiantes que ces statistiques puissent paraître, des moyens sont à votre portée pour éviter que vous en fassiez partie. C’est ainsi que les professionnels de la cybersécurité recommandent l’une des meilleures méthodes de sécurité 2.0 : la confiance nulle (« Zero Trust »).
La sécurité « Zero Trust », c’est quoi?
En 1994, Stephen Paul Marsh présentait pour la première fois le concept de la confiance nulle « Zero Trust » en matière de sécurité des réseaux informatiques dans sa thèse doctorale intitulée Formalising Trust as a Computational Concept. Marsh a jeté les bases de ce que deviendrait le concept, mais c’est au spécialiste en cybersécurité John Kindervag qu’on attribue essentiellement la désignation actuelle du concept de « Zero Trust ». Pendant qu’il travaillait à Forrester Research, Kindervag a décelé une faille dans le fonctionnement de leurs réseaux informatiques qui, selon lui, devait être corrigée.
Un modèle industriel de sécurité informatique a été établi en partant du principe qu’un utilisateur ou un appareil présent au sein du réseau d’une organisation était fiable. Or, le concept Zero Trust est à l’opposé de ce principe. Un réseau Zero Trust assure la vérification constante des permissions et des autorisations des utilisateurs et des appareils au sein de ce réseau.
Un hôpital moderne peut servir d’analogie pertinente. Imaginez un hôpital avec un garde de sécurité à la porte d’entrée. Tous les employés de l’hôpital ont un badge; ainsi, dès que le garde de sécurité aperçoit le badge que porte un employé, ce dernier peut pénétrer dans l’hôpital et aller là où il souhaite. Cela pourrait notamment signifier qu’il serait aisé pour un membre du personnel de nettoyage d’accéder au casier des médicaments à substances contrôlées. Il s’agirait là d’une situation potentiellement dangereuse.
Si le même hôpital était conçu dans une optique de confiance nulle, la vérification des badges à l’entrée ne serait qu’un début. Les employés seraient tenus de présenter leurs badges à de multiples endroits dans l’établissement. Les gardes patrouilleraient dans les couloirs et demanderaient au hasard à des employés de produire leurs pièces d’identité. Les portes seraient toutes équipées de serrures codées, ce qui rendrait très difficile à quiconque l’accès à une zone à laquelle il ne serait pas autorisé à pénétrer. En fait, on ne ferait confiance à personne, et l’hôpital en serait plus sûr.
En l’absence de sécurité Zero Trust, les organisations s’exposent à des dommages substantiels. En 2020, des violations de données ont entraîné des dépenses s’élevant en moyenne à 3,86 millions de dollars. Des études récentes ont montré que seulement 5 % de la plupart des dossiers informatiques étaient protégés convenablement. Une proportion alarmante de 80 % des responsables et cadres de la sécurité des technologies de l’information (TI) pensent que leur organisation dispose d’une protection insuffisante contre les cyberattaques. Sans sécurité Zero Trust, ces défaillances sont une cible facile pour les pirates informatiques.
Essentiellement, les organisations dont les réseaux informatiques sont conçus sans sécurité Zero Trust s’exposent à des pertes financières substantielles. Ces quelques exemples d’événements historiques survenus sur les réseaux sans sécurité Zero Trust serviront à illustrer le risque. Le coût de réparation des systèmes affectés par le virus Melissa en 1999 s’est élevé à 80 millions de dollars. Lors de l’attaque de 2011 sur le réseau PlayStation de Sony, les renseignements personnels de plus de 77 millions d’utilisateurs ont été volés, y compris de l’information liée à des cartes de crédit. Enfin, la chaîne hôtelière Marriott a découvert qu’un assaillant cybernétique avait subtilisé les données de 339 millions de clients. En conséquence de cette attaque, le gouvernement britannique a imposé à Marriott une amende s’élevant à 18,4 millions de livres. La vulnérabilité coûte cher aux organisations.
La meilleure mesure de protection est la sécurité Zero Trust, qui accorde aux utilisateurs et aux appareils un accès minimal et contrôlé. En concevant des systèmes Zero Trust, les créateurs de réseaux s’efforcent de mettre en place plusieurs mesures de contrôle automatisées, dont :
- Surveillance et validation continues : Cette mesure exige des ouvertures de session associées à des délais d’expiration automatique et suppose que les assaillants cybernétiques peuvent provenir à la fois de l’extérieur et de l’intérieur du réseau.
- Le moindre privilège : Il s’agit de donner à chaque utilisateur uniquement l’accès dont il a besoin. Pas plus, pas moins.
- Contrôle de l’accès aux dispositifs : Cette mesure permet de limiter les dispositifs qui peuvent se connecter au réseau et surveille ce que font les dispositifs autorisés. Le système évalue également les appareils pour s’assurer qu’ils ne sont pas compromis.
- Microsegmentation : Il s’agit essentiellement de compartimenter les zones d’accès. Des zones de sécurité sont créées autour de zones restreintes d’accès, afin d’éviter les failles importantes.
- Prévention des mouvements latéraux : Si un réseau permet les mouvements latéraux, les assaillants cybernétiques qui se sont infiltrés dans le système peuvent se déplacer vers d’autres zones du réseau. Sans mouvement latéral, ils peuvent très difficilement le faire.
- Authentification multifacteurs : Cet aspect de la confiance nulle signifie que les utilisateurs et les dispositifs doivent faire vérifier par plus d’un moyen leur autorisation d’utiliser le réseau ou des parties du réseau.
L’importance de la sécurité Zero Trust
L’intégration d’un système à sécurité Zero Trust dans votre réseau ou organisation constitue votre meilleure protection contre les cyberattaques. Le système pourra toujours laisser les utilisateurs échanger de l’information tout en réduisant au minimum les dommages causés lors d’une possible cyberattaque. Or, les menaces actuelles proviennent de sources externes et internes. La sécurité à confiance nulle reconnaît cette réalité et contribue à atténuer le danger. La confiance est importante, mais les freins et contrepoids automatisés au sein du système admettent que la confiance peut être mal placée.
Comme les données continuent à prendre davantage d’importance au sein de l’univers numérique, on doit reconnaître que ce phénomène est une arme à double tranchant sans protection appropriée. La sécurité Zero Trust offre ainsi un moyen de tirer parti de la numérisation des données sans surexposer les renseignements personnels aux pirates informatiques. Une fois la sécurité Zero Trust mise en place, nombre d’organisations constatent des réductions importantes dans les dépenses liées aux TI et aux dommages causés par les cyberattaques. Une étude récente a montré que certaines sociétés dotées de réseaux à sécurité Zero Trust avaient 50 % de failles en moins et dépensaient 40 % de moins en fournitures technologiques. Ces chiffres font valoir l’importance d’adopter la sécurité Zero Trust auprès des organisations, si ce n’est pas déjà fait.
Le monde évolue rapidement au sein de l’ère technologique. Si les avantages liés à ces avancées sont innombrables, on doit également en reconnaître les dangers. Les cybercriminels peuvent émaner de sources internes et externes dans pratiquement toutes les organisations. La confiance nulle (« Zero Trust ») est de loin la meilleure protection dont disposent les concepteurs de réseaux pour protéger les utilisateurs de systèmes, tandis que la société se dirige forcément vers un avenir où toutes les données seront numériques et accessibles aux utilisateurs de confiance.
