La normale post-pandémie pour les organisations mondiales signifie de plus en plus l'utilisation de la technologie numérique pour soutenir des pratiques de travail plus flexibles. Bien que des géants de la technologie tels que Twitter et Facebook aient fait les gros titres en promettant à certains employés qu'ils pourraient travailler à domicile pour toujours, la réalité pour la plupart des employeurs sera probablement plus prosaïque. Plus de 60 % des entreprises prévoient de soutenir un lieu de travail hybride, où les employés passeront une partie de la semaine à la maison et quelques jours au bureau. Pourtant, cette évolution s'accompagne de nouveaux cyber-risques, comme nous l'avons souligné dans le premier article de cette série qui examine les défis de sécurité du lieu de travail hybride.
La bonne nouvelle est que c'est pour cela que le modèle Zéro Trust a été conçu. Déjà imposé aux agences du gouvernement fédéral américain par un nouveau décret présidentiel, il offre un moyen de plus en plus populaire de minimiser les cyber-risques dans un monde de cloud hybride, de télétravail et de menaces persistantes.
Les défis de la protection des milieux de travail hybride
Les RSSI d'aujourd'hui sont soumis à une pression incroyable pour protéger les données sensibles de la propriété intellectuelle et des clients contre le vol, et les systèmes essentiels à l'entreprise contre l'interruption de service. Malgré l'augmentation des dépenses de sécurité, les violations continuent de se multiplier. Le coût des brèches de données s'élève aujourd'hui en moyenne à près de 3,9 millions de dollars américains par incident, et les entreprises mettent généralement des centaines de jours avant de découvrir et de contenir ces attaques.
L'avènement du travail à distance de masse, et maintenant du lieu de travail hybride, donne encore plus d'avantages aux acteurs de la menace. Les organisations sont exposées à des risques dans plusieurs domaines, notamment :
- Les travailleurs à domicile distraits qui sont plus susceptibles de cliquer sur des liens consistant des tentatives de hameçonnage
- Les travailleurs à distance qui utilisent des ordinateurs portables et des appareils mobiles personnels, des réseaux et des appareils domestiques intelligents potentiellement non sécurisés
- Des VPN vulnérables et d'autres logiciels non corrigés fonctionnant sur des systèmes domestiques.
- Des points de terminaison RDP mal configurés, qui peuvent être facilement détournés par des mots de passe déjà violés ou faciles à pirater. ESET a signalé une augmentation de 140 % des attaques RDP au troisième trimestre 2020.
- Des services cloud avec des contrôles d'accès faibles (mots de passe pauvres et pas d'authentification multifactorielle).
Pourquoi le Zéro Trust?
En 2009, Forrester a élaboré un nouveau modèle de sécurité de l'information, appelé modèle Zéro Trust, qui a été largement accepté et adopté. Il a été conçu pour un monde dans lequel les anciennes certitudes consistant à placer toutes les ressources de sécurité dans le périmètre et à faire confiance à tout ce qui s'y trouve ne sont plus pertinentes. C'est le monde dans lequel nous vivons aujourd'hui grâce au travail distribué et à l'omniprésence du cloud.
Au lieu de cela, le Zéro Trust est fondée sur un mantra de "ne jamais faire confiance, toujours vérifier" pour aider à réduire l'impact des violations. En pratique, il y a trois principes sous-jacents :
- Tous les réseaux doivent être considérés comme non fiables
Si tous les réseaux ne sont pas fiables, les utilisateurs doivent l'être aussi. Après tout, vous ne pouvez pas garantir qu'un compte n'a pas été détourné ou qu'un utilisateur n'est pas un initié malveillant. Cela signifie qu'il faut accorder aux employés juste assez de privilèges pour faire leur travail, puis auditer régulièrement les droits d'accès et supprimer ceux qui ne sont plus appropriés. - Le moindre privilège
Les réseaux domestiques, les réseaux Wi-Fi publics (par exemple, dans les aéroports et les cafés) et même les réseaux d'entreprise sur site devraient être concernés. Les acteurs de la menace sont tout simplement trop déterminés pour que nous puissions supposer qu'il reste des espaces sûrs. - Supposer une violation de données
Chaque jour, nous entendons parler d'une nouvelle faille de sécurité. En gardant une mentalité d'alerte, les organisations seront vigilantes et continueront à améliorer leurs défenses dans un esprit de Zéro Trust. Les failles sont inévitables - il s'agit de réduire leur impact.
En quoi le Zéro Trust a évolué?
Lorsque le concept de Zéro Trust a été créé en 2009, il s'agissait d'un modèle très centré sur le réseau. Au fil des ans, il s'est transformé en un écosystème complet. En son centre se trouvent les données critiques ou les processus commerciaux qui doivent être protégés. Il se concentre autour de quatre éléments clés : les personnes qui peuvent accéder à ces données, les appareils qui les stockent, les réseaux par lesquels elles transitent et les charges de travail qui les traitent.
Forrester y a maintenant ajouté une autre couche cruciale : l'automatisation et l'orchestration, la visibilité et l'analyse. Ces éléments intègrent tous les contrôles de défense en profondeur nécessaires pour soutenir le Zéro Trust.
Le Zéro Trust, dans cette nouvelle itération, est un moyen idéal d'atténuer les risques d'un lieu de travail hybride - un environnement où les périmètres sont fluides, où les travailleurs distribués doivent être continuellement authentifiés et où les réseaux sont segmentés pour réduire le potentiel de propagation des menaces. Il est également apparu clairement au cours de la pandémie que, dans de nombreux cas, les VPN n'étaient pas en mesure de prendre en charge un grand nombre de travailleurs distants, tant en termes de trafic entrant que de déploiement de correctifs vers l'extérieur. Ils constituent de plus en plus une cible en soi, s'ils ne sont pas corrigés et ne sont pas suffisamment protégés. Le Zéro Trust représente une meilleure option à long terme.
Comment mettre en place le Zéro Trust?
Les plus récentes données indiquent que près des trois quarts (72 %) des entreprises prévoient (42 %) ou ont déjà mis en place (30 %) le Zéro Trust. La bonne nouvelle, c'est qu'il n'est pas nécessaire de procéder à un remaniement en profondeur pour y parvenir.
En fait, vous utilisez peut-être déjà un grand nombre des outils et techniques nécessaires pour commencer. Il s'agit notamment des éléments suivants :
Les personnes : Contrôles d'accès basés sur les rôles, authentification multi-facteurs, séparation des comptes.
Charges de travail : La plupart des fournisseurs d’informatiques en nuage intègrent des contrôles à ce niveau. Les organisations doivent les utiliser pour réduire l'accès aux différentes charges de travail et appliquer de bonnes politiques.
Appareils : La gestion des actifs vous aidera à comprendre ce que vous possédez. Utilisez ensuite la détection et la réponse aux points de terminaison (EDR), les pare-feu basés sur l'hôte et autres pour protéger ces actifs et empêcher les mouvements latéraux.
Réseaux : La micro-segmentation est essentielle ici. Utilisez des dispositifs de réseau tels que des routeurs et des commutateurs en combinaison avec des listes de contrôle d'accès (ACL) pour limiter qui et quoi peut parler aux différentes parties du réseau. La gestion des vulnérabilités est également importante.
Les données : Classifiez vos données, puis appliquez le cryptage aux types les plus sensibles au repos et en transit. Le contrôle de l'intégrité des fichiers et la prévention des pertes de données peuvent également contribuer à sécuriser les données.
Enfin, il s'agit d'ajouter l'orchestration et l'automatisation de la sécurité, ainsi que des capacités d'analyse des données. Cela apporte la connaissance de la situation dont les équipes chargées des opérations de sécurité ont besoin pour faire leur travail efficacement.