Retrouver la confiance dans un monde "zéro confiance" ?

Le télétravail, le cloud ont fait voler en éclats la maîtrise des organisations sur leur environnement numérique. Face aux risques cyber, le zero trust est-il une solution indispensable ou un buzzword

La crise sanitaire a bousculé nos habitudes et a engendré de nombreuses mutations de notre environnement personnel et professionnel. Si la sécurité informatique reposait initialement sur une infrastructure interne, l’évolution des modes de travail (télétravail, nomadisme, accès distants) et des réseaux “logiciels” vers le cloud a fait voler en éclats la pleine maîtrise des organisations sur leur environnement numérique, les faisant basculer dans un monde de “zéro-confiance” (ou zero trust).

Au système informatique interne à l’organisation se sont ajoutés des paramètres externes sur lesquels elle n’a pas ou peu de contrôle : accès des prestataires, connexion depuis un ordinateur personnel, réseau wifi non sécurisé, espaces de coworking divers, applications SaaS gérées par des tiers, etc. Toute cette “périphérie” devient la porte d’entrée privilégiée des cyber attaquants.

Face à la multiplication des risques cyber, le zero trust est-il une solution indispensable à la pérennité des organisations ou n’est-il qu’un buzzword ?

Une érosion du contrôle poussant à une perte de confiance

Les DSI ont le contrôle de l’infrastructure numérique interne et du matériel informatique. Mais quid des facteurs externes à l’organisation ? La confiance reposant le plus souvent sur la maîtrise de son environnement, l’émergence d’une forme de travail hybride a entraîné une perte de contrôle. Et les hackers ne s’y trompent pas : selon une étude de Tenable, 67% des cyber-attaques ayant eu des répercussions sur l’activité ont ciblé des collaborateurs en télétravail.

Une problématique similaire se pose pour les accès des personnes extérieures à l’organisation tels que les prestataires. Leur accès aux infrastructures numériques est une menace supplémentaire pour la sécurité informatique des entreprises. L’an dernier, 51% des failles de sécurité découvertes par les organisations dans le monde étaient dues à l’intervention d’une tierce personne (source : Security Magazine).

Le périmètre classique de sécurité s’est étendu au-delà de ses frontières traditionnelles et les organisations ne peuvent plus se permettre de prendre des risques. Face à la menace cyber, elles sont entrées dans un monde dit de zéro confiance.

L’identité : le nouveau périmètre de confiance

Un accès zéro trust, ou zero trust network access (ZTNA), ouvre un accès volatile, sur des portes réseaux aléatoires, vers une ressource informatique rendue invisible d’Internet, accédée au travers d’un tunnel sécurisé dont seul le client détient la clé, à un utilisateur défini.

C’est justement dans cet utilisateur et dans son identité que l’on doit retrouver la confiance. Celle-ci est vérifiée en temps réel et détermine ses droits, son rôle dans l’organisation (employé, consultant, prestataire), le contexte de son utilisation (quand, où, comment), et le poste de travail utilisé (professionnel ou personnel, système/antivirus à jour, localisation, navigateur utilisé, numéro de série…).

À ces paramètres s’ajoute la biométrie comportementale, une technologie qui, grâce notamment à l’intelligence artificielle, analyse en continu l’attitude de l’utilisateur : manière de taper un mot de passe sur le clavier, clic ou vitesse de déplacement de la souris, habitude de navigation, etc. Cette technologie permet de s’assurer que la personne derrière l’écran est bien et reste celle qui s’est connectée en premier lieu.

Si le collaborateur est aujourd’hui la cible numéro un des cyber attaquants de par sa vulnérabilité, la confiance doit aujourd’hui se retrouver dans son identité numérique. Grâce à la technologie, les organisations peuvent reprendre le contrôle de leurs systèmes d’informations et évoluer avec, plutôt que de subir, les nouveaux modes de travail.

Il n’en reste pas moins que certaines formes d’attaques comme le phishing, qui consiste à leurrer le collaborateur (souvent par email) pour l’inciter à communiquer des données personnelles ou sensibles, ne peut être évitées par la technologie seule. La sensibilisation et formation des collaborateurs à ce type d’attaque devient complémentaire à la technologie et essentielle à la survie de l’organisation.