Accélérer sa stratégie Zero Trust grâce à une authentification forte

Accélérer sa stratégie Zero Trust grâce à une authentification forte

Les chemins qui mènent au Zero Trust sont multiples et passent par le réseau, l’identité et le contrôle d’accès, tandis que les définitions de ce concept et les moyens de le concrétiser sont si nombreux qu’ils en deviennent déconcertants.

Selon le principe du Zero Trust, une organisation ne doit faire confiance à aucun individu ou élément qui n’a pas fait l’objet d’une vérification minutieuse avant d’être autorisé à accéder au réseau et aux données. Il faut en effet valider et authentifier chaque utilisateur qui accède au réseau, et installer des agents de surveillance à chaque terminal. 

Ces derniers doivent vérifier que l’appareil est digne de confiance et en fournir l’attestation. Cela suppose également de mettre fin à la session d’un utilisateur et l’obliger à se réauthentifier fréquemment. L’expérience utilisateur peut alors être fortement impactée si l’approche Zero Trust n’en tient pas compte au même titre que la sécurité.

publicité

L’authentification forte, pillier de la stratégie Zero Trust

Le modèle du Zero Trust suppose un niveau de confiance élevé dans les mécanismes d’authentification de chaque utilisateur, depuis chaque appareil qui tente d’accéder aux ressources de l’entreprise, que ce soit à l’intérieur ou à l’extérieur du périmètre du réseau. 

L’adoption de l’authentification forte en tant qu’élément fondamental de la stratégie Zero Trust permet de renforcer la sécurité de l’organisation grâce à une authentification et à une gestion des identités fortes.

En revanche, pour une organisation qui débute ses démarches par l’accès au réseau, la restructuration des éléments du réseau peut se révéler beaucoup plus complexe et bien plus longue. Il est important de restructurer selon les principes du Zero Trust, mais la mise en place d’une authentification forte et d’un cadre consacré au contrôle d’accès offre une base solide qui pourra être exploitée tout au long du processus. En outre, le déploiement d’un cadre dédié à la gestion des identités permet de déterminer l’identité des utilisateurs, la solidité de leur authentification et la manière dont ils sont connectés, afin de détecter tout comportement inhabituel.

Quelle que soit la méthode retenue pour définir ce cadre général, il est important de commencer par doter l’utilisateur d’une identité de confiance assortie d’une authentification forte. Cette approche présente des avantages immédiats pour l’ensemble de l’organisation qui pourront être mis à profit au fur et à mesure de l’élaboration des politiques d’accès fondées sur le Zero Trust. 

Dans ce contexte, il est impératif de déterminer comment les utilisateurs établissent leur identité et quel niveau de confiance peut être accordé à ce mécanisme. Si les utilisateurs ont uniquement recours à des mots de passe pour vérifier leur identité, l’organisation n’a aucune garantie de sécurité, quelles que soient les subtilités et les considérations qui caractérisent le reste de la stratégie Zero Trust. 

Les mots de passe sont réputés pour leur grande vulnérabilité aux attaques à distance et aux attaques de type « Man-in-the-Middle » (MiTM), et les vols de mots de passe sont à l’origine de 80 % des violations de données les plus coûteuses. L’authentification par SMS, par email et par téléphone mobile garantit une plus grande sécurité que les mots de passe, mais elle reste insuffisante en raison de sa vulnérabilité aux attaques à distance et par phishing. 

Dans le cadre d’une approche de type Zero Trust, il est primordial de neutraliser les vulnérabilités notoires qui exposent des données sensibles. Étant donné que l’accès des utilisateurs constitue un risque fondamental pour la sécurité de ces données, la mise en œuvre de mesures d’authentification forte est essentielle.

Malheureusement, l’un des pièges les plus fréquents dans lequel les organisations sont susceptibles de tomber est celui de considérer les initiatives Zero Trust à part entière, et de voir l’authentification forte comme une toute autre initiative, relevant éventuellement d’un impératif réglementaire ou d’un domaine de travail connexe.

Dans la pratique, on pourrait par exemple envisager que les moteurs de politique Zero Trust et les politiques d’autorisation des identités représentent des systèmes distincts. Un moyen plus efficace et plus rapide de partir sur de bonnes bases est de considérer l’authentification forte comme une composante fondamentale du Zero Trust et de la lier à l’initiative globale.

Définir des identités d’utilisateur de confiance avec une authentification multi-facteurs moderne

L’authentification à plusieurs facteurs (MFA) moderne, dans le cadre d’une authentification forte, peut empêcher des individus d’accéder au réseau au moyen de mots de passe volés. Elle permet d’authentifier les utilisateurs avant de leur accorder l’accès, tout en les protégeant contre le phishing. 

Les anciennes méthodes d’authentification multi-facteurs, telles que les SMS, les applications d’authentification et autres, se sont révélées très faciles à hameçonner, car elles ne font pas réellement le lien entre ce que possède l’utilisateur et le service proposé. 

Cela permet alors aux cybercriminels d’intercepter les codes d’accès et de les réutiliser. Si un utilisateur a recours à ces méthodes pour vérifier son identité et accéder au réseau, le compte risque d’être compromis, permettant ainsi à l’attaquant de s’introduire et de procéder à des déplacements latéraux qui peuvent s’avérer difficiles à repérer.

En conséquence, l’industrie se détourne des secrets de type symétrique (mots de passe, OTP) au profit de solutions asymétriques plus avancées, liées à des dispositifs physiques. Afin de garantir la sécurité du cadre Zero Trust, les comptes d’utilisateurs doivent être créés à l’aide d’une authentification moderne de type double facteur (2FA) ou MFA, en utilisant par exemple des clés de sécurité matérielles spécialement conçues pour offrir les niveaux de protection les plus élevés contre le phishing et un accès sécurisé aux utilisateurs.

Avec des clés de sécurité matérielles fondées sur des protocoles d’authentification modernes, les utilisateurs ont la possibilité d’enregistrer une seule clé de sécurité pour accéder à des centaines de services, une paire de clés publique/privée unique étant générée pour chaque service, et les secrets ne sont jamais communiqués entre les services. 

La sécurité traditionnelle des réseaux informatiques fonctionne comme un château. Il est difficile d’obtenir un accès de l’extérieur du réseau – ou du château. Cependant, toute personne à l’intérieur du réseau bénéficie d’une confiance implicite. Cela signifie qu’un attaquant n’a besoin que d’un seul accès. Dans ce contexte, et avec la pandémie et le travail à distance, les entreprises doivent impérativement envisager l’approche Zero Trust. Elles ne doivent faire confiance à aucun individu ou objet qui n’a pas été correctement vérifié avant de pouvoir accéder au réseau et aux données. L’authentification forte est un aspect fondamental de ce parcours, permettant une vérification de l’identité de l’utilisateur avant que l’accès ne soit accordé.

Leave a Reply

Your email address will not be published. Required fields are marked *