Zero trust boosté à l'IA : remettre en question la confiance pour mieux faire confiance
En télétravail, les salariés ont dû gérer eux-mêmes leurs problèmes de sécurité. Le VPN et la pédagogie sur les techniques de vol d'identifiants numériques ont montré leurs limites. La solution : le zero-trust.
Lors de l’arrivée de la Covid-19, les entreprises n'ont pas eu d'autres solutions que d’ouvrir les vannes de leur système d’information (SI) du jour au lendemain… Peu prêts, mal informés, beaucoup de collaborateurs ont été livrés à eux-mêmes pour assurer la sécurité de leur poste de travail. Si les grands groupes se sont reposés sur leurs plans de continuité d’activité, la plupart des PME ont augmenté involontairement leur surface d'attaques potentielles.
Les fraudeurs et les pirates ont ainsi multiplié les attaques par phishing, les plus simples et les plus rentables. Le phishing n’est certes pas nouveau, mais il est de plus en plus élaboré, d’autant que les criminels ont fait un effort en matière d’orthographe ! Les messages de type "Attention : informations sur la Covid-19" avec des pièces jointes ont fonctionné parce que les salariés étaient friands d'informations autour de la pandémie. D’une certaine manière, l’isolement et l’anxiété des utilisateurs ont été un excellent terreau pour mettre en place ces attaques - l’employé en télétravail n'ayant que peu d’interactions avec ses collègues.
Les VPN ont longtemps été la solution par défaut pour répondre aux exigences de sécurité du télétravail. Mais la technologie a un coût et les pirates ont appris à la contourner : au lieu d’attaquer la liaison réseau, ils s’attaquent au terminal. Les entreprises ont bien tenté de contrôler le terminal, en ne laissant entrer sur le réseau de l’entreprise que les appareils correctement sécurisés. Mais cela n’empêche pas le salarié d’ouvrir une pièce jointe d’origine inconnue…
Ne faire confiance ni au terminal ni à la personne
La solution ? Le zero-trust. Globalement, cela signifie ne faire confiance à aucun des éléments de la chaîne informatique. Ce n’est pas parce l’entreprise a fourni un terminal sécurisé qu’il ne peut pas être affecté. Ce n’est pas parce l’entreprise a fourni des identifiants avec un mot de passe fort ou qu’on a mis en place un mécanisme d'authentification avec SMS, que l’entreprise peut être certaine de l’identité de la personne qui accède au système d’information. Malgré toutes les barrières sécuritaires mises en œuvre, le zero-trust part donc du principe que la confiance n’est jamais acquise et que des dispositifs croisés de sécurité doivent être ajoutés.
Le zero-trust est une réalité aujourd’hui et chaque citoyen l’utilise sans le savoir. C’est par exemple le principe des apps bancaires. Votre banque ne contrôle pas votre terminal, que ce soit votre ordinateur ou votre smartphone - ce n’est pas elle qui vous l’a fourni. Elle va juste vous donner un identifiant/mot de passe et vous envoyer un SMS pour certaines opérations. Mais en arrière-plan, les systèmes bancaires vont plus loin. Ils vont collecter un certain nombre de données sur le terminal, sur l’environnement, sur l’utilisateur, sur ses heures d’utilisation. Ils vont ainsi croiser ces centaines d'informations pour évaluer un niveau de risque. À partir de ce niveau, les banques vous autoriseront, ou non, l’accès à certains services - sans même vous prévenir. Par exemple, si votre établissement se rend compte que vous faites votre comptabilité tous les lundis à 19h, et effectuez des virements à ce moment, il vous en donnera l’autorisation. Si vous voulez faire un virement en Chine un jeudi à 4h du matin, il pourra prétexter un problème technique pour empêcher ce virement.
L’intelligence artificielle en back-office
Ce type de mécanisme peut être mis en œuvre assez rapidement, sans nécessiter d’enclencher de grands projets. Mais cette technologie doit relever un défi important : éviter les faux positifs qui peuvent faire obstacle à l’expérience client. Par exemple, si exceptionnellement vous vous connectez d’un ordinateur à 300 km de chez vous parce que vous êtes en week-end pour consulter vos courriels, l’intelligence artificielle - en back-office, c’est elle qui se charge de repérer les comportements déviants - doit être capable de le comprendre et ne pas lever d’alertes inutiles. Ces technologies avancées sont capables de modéliser vos habitudes de connexion, vos habitudes de navigation, de les combiner avec des centaines de données techniques et permet d’évaluer en quasi-temps réel le niveau de risque associé à votre parcours utilisateur.
C’est avec les avancées significatives de l’IA et du machine learning que le zero-trust a acquis sa maturité. C’est aujourd’hui une technologie d’avenir, Gartner prévoyant qu’en 2023, 60% des entreprises remplaceront leur VPN au profit du modèle zero-trust [1] !