Adapter la confiance et le risque pour protéger l'entreprise ouverte

Le développement rapide du télétravail contraint les entreprises à repenser leur posture de cybersécurité. Le seul moyen de vérifier l'identité des utilisateurs est d'adopter une approche de la sécurité axée sur la confiance connectée afin de garantir la sécurité des utilisateurs et des réseaux de l'entreprise tout en favorisant l'agilité.

En 2019, un cadre d’une société informatique de Taiwan a envoyé une série d’e-mails demandant à des collaborateurs de Google et Facebook de payer plusieurs factures. Les deux entreprises entretenaient déjà des relations avec ce fournisseur, de sorte que les employés de Google et Facebook ont effectué, en réponse, des virements vers des banques en Lettonie et à Chypre. Si le fournisseur était bien réel, les e-mails, comptes bancaires, contrats et factures avaient tous été contrefaits par un escroc basé en Lituanie, qui a ainsi extorqué 123 millions de dollars à deux des plus grandes entreprises de la planète, faisant aussi partie des marques les plus usurpées aujourd’hui.

Ces e-mails de phishing illustrent combien il est facile d’usurper l’identité de personnes et d’entités dans un monde sans périmètres où les entreprises sont de moins en moins circonscrites par des infrastructures physiques ou réseau : ce qui a abouti à l’émergence rapide de l’entreprise ouverte. Si cette évolution s’est amorcée avant même la pandémie de 2020, le passage en masse au télétravail a amplifié la réalité de l’entreprise ouverte et accéléré le développement exponentiel du paysage des menaces.

Les vols perpétrés via Internet ne nécessitent rien de plus que de mauvaises intentions et des malwares. Au cours des premiers mois de 2020, le nombre des attaques de phishing a augmenté de plus de 660% et leur rythme n’a pas ralenti. Aussi, nous assistions à une recrudescence des attaques de ransomware dont l’audace a fait les gros titres. Les cibles de ces attaques sont des personnes. Les comptes à privilèges, sous-traitants et employés sont des vecteurs d’attaque au quotidien. En outre, avec l’essor du télétravail, les RSSI n’ont aucune idée du nombre de leurs collaborateurs qui ont été victimes d’une attaque de phishing ou d’un autre type de vol d’identité. 

Comment le pourraient-ils à l’ère des applications et des API, où le développement des modèles cloud et SaaS facilite le piratage par le vol d’identifiants de connexion ? Alors, de quelle façon le champ de bataille de la cyberguerre s’est-il déplacé ?

Sous l’effet du cloud et de la pandémie, les employés très dispersés d’une entreprise travaillent sur des réseaux domestiques non maîtrisés et se connectent directement aux services cloud avec des adresses IP qui ne leur ont pas été attribuées par le service informatique. Cette situation n’est pas près de changer. Google, par exemple, a récemment annoncé que ses 200 000 salariés ne retourneraient pas au bureau avant juin 2021.

Extension du zero trust avec la confiance connectée

La prolifération du télétravail contraint les entreprises à repenser leur posture de cybersécurité. Alors que le périmètre réseau était jusque-là constitué par des équipements périphériques, il s’étend désormais aux collaborateurs et aux applications avec lesquelles ils interagissent. Cela signifie que la cybersécurité doit formellement prouver qu’un équipement ou un utilisateur ne représente pas une menace pour la propriété intellectuelle ou la marque de l’entreprise. En d’autres termes, c’est la base du zero trust (le zéro-confiance). Pour prendre une analogie avec la pandémie, le zero trust équivaut à porter un masque partout car nous ignorons qui peut être un danger ou quel support peut servir de vecteur à une attaque.

Le seul moyen de s’assurer que les utilisateurs sur le réseau sont bien ceux qu’ils affirment être est d’adopter une approche de la sécurité axée sur la confiance connectée. Dans le cas du zero trust, le point de départ consiste à ne pas faire confiance à l’utilisateur ni à son équipement. La confiance connectée va plus loin en évaluant continuellement les niveaux de risque sous l’angle des comportements. Une sécurité qui s’adapte au risque peut alors s’appliquer à travers une politique unique qui intègre une analyse comportementale. En apprenant et en comprenant les schémas de comportement des êtres humains et des machines, il est possible de mettre en œuvre des règles qui n’entravent pas la productivité de l’utilisateur tant qu’il n’a pas un comportement à risque.

Chaque RSSI a aujourd’hui conscience de la nécessité accrue d’analyser les comportements sur le réseau. En effet, les données sont devenues une denrée essentielle à l’ère du cloud et leur sécurité est constamment mise en balance avec leur utilisation dans une période de télétravail intensif. Nous voyons la sécurité centrée sur l’humain évoluer d’une surveillance de type big brother vers la prise de décision intelligente en matière de risque en fonction de l’évaluation de quantités d’informations. Au lieu de collecter des données auprès de postes de travail et d’entités, la sécurité à base de confiance connectée combine les identités de l’utilisateur et leurs interactions avec les données. Cela revient à vous faire accompagner d’un garde du corps où que vous alliez.

Des employés de confiance libèrent l’entreprise

Lorsque les RSSI étendent le zero trust avec la confiance connectée, la sécurité peut non seulement anticiper et résoudre les incidents en amont mais elle permet également aux employés de prendre des décisions intelligentes en toute liberté, sans se sentir freinés. La confiance connectée favorise ainsi une entreprise plus dynamique et travaillant à distance. En conséquence, nous verrons disparaître peu à peu les frontières traditionnelles de l’entreprise. Pour cette entreprise sans frontières, la sécurité sera invisible, du moins tant qu’aucun incident ne demandera à être traité.

Nous ne saurions trop souligner l’importance de cette liberté. L’expérience utilisateur est essentielle pour le succès d’une sécurité capable de s’adapter aux comportements. Il suffit d’observer l’essor fulgurant d’outils tels que Zoom, désormais synonyme de visioconférence facile d’accès. Dès que la sécurité devient trop intrusive et se met en travers du chemin, les utilisateurs tentent de la contourner car ils y voient une entrave à leur travail et cela crée des failles. La sécurité doit à la fois se rendre indispensable et se faire oublier, à la manière des ceintures de sécurité et des airbags.

Plus la sécurité apprend, plus l’entreprise gagne en agilité. Sa culture, ses collaborateurs et la propriété intellectuelle créée et diffusée partout par ces derniers définissent aujourd’hui l’entreprise dans sa transformation vers l’ouverture. Peu importe où les employés travaillent car la sécurité est dorénavant ancrée dans notre communication, notre collaboration et notre production. La sécurité adaptative, centrée sur l’humain, est appelée à changer la donne pour les entreprises dans ces circonstances exceptionnelles.