La stratégie Zero Trust est-elle la réponse aux préoccupations croissantes en matière de sécurité ?
Une étude récente a montré que les chefs d'entreprise et les responsables de la cybersécurité partagent les mêmes préoccupations concernant les risques de sécurité liés à l'identité. Dans cet article, nous explorons l'importance de la sécurité zéro confiance et la façon dont elle peut contribuer à atténuer les risques qui préoccupent les deux parties aujourd'hui.
Les projets de transformation digitale ont eu un impact positif considérable sur les organisations et ont donné un coup de pouce à leur productivité. Cependant, les grands projets de transformation numérique conduisent à des écosystèmes complexes. Cela, en plus de l'intégration des nouvelles technologies avec les systèmes existants qui entraîne des risques accrus en matière de cybersécurité.
Basé sur une étude de la cybersécurité et des perspectives des chefs d'entreprise sur les principaux problèmes cybernétiques, le rapport Global Cybersecurity Outlook 2023 publié par le Forum économique mondial met en évidence les préoccupations communes en matière de cybersécurité partagées par les chefs d'entreprise du monde entier. Il souligne une évolution consciente de la sensibilisation aux questions de cybersécurité parmi les chefs d'entreprise, signalant ainsi un changement dans la manière d'aborder la cybersécurité et son importance croissante.
Principaux risques cybernétiques perçus par les responsables de la sécurité et les chefs d'entreprise
Au cours de l'année écoulée, le nombre de cyberattaques ayant un impact systémique et ne se limitant plus à un secteur ou à une industrie spécifique a considérablement augmenté.
Certains des cyber-risques courants qui préoccupent les chefs d'entreprise et les responsables de la cybersécurité sont liés à des menaces à la sécurité personnelle qui peuvent constituer des portes d'entrée pour nuire à l’organisation. En voici quelques-uns :
- L'usurpation d'identité
Si les acteurs de la menace obtiennent des informations personnelles identifiables d'un employé ou d'un partenaire de confiance, ces informations peuvent être utilisées pour accéder à des données d’entreprise confidentielles et sensibles. Une forme courante d'attaque d'entreprise résultant d'une usurpation d'identité est le whaling, où des acteurs de menace externes se font passer pour des cadres supérieurs ou des autorités d'approbation afin d'accéder à des données sensibles ou de causer des pertes financières.
-
Cyber extorsion (ransomware)
Les ransomwares, qui étaient à l'origine des attaques basées sur le chiffrement et causées par l'exécution de logiciels malveillants, ont évolué vers ce que l'on appelle aujourd'hui la triple extorsion de ransomwares. Les victimes sont obligées de payer une rançon pour retrouver l'accès à leurs données cryptées ou pour empêcher la publication en ligne de données sensibles. L'objectif final de ces attaques est de perturber complètement, ou au moins partiellement, le fonctionnement de l'entreprise. -
Perturbation des infrastructures vitales
Une cyberattaque contre une infrastructure vitale est un excellent exemple d'attaques systémiques visant à perturber gravement les services essentiels à l'échelle d'un État, entraînant souvent de graves séquelles et des conséquences économiques à long terme. Bien que les mesures de cybersécurité dans le secteur soient fortement axées sur la réglementation, les organisations doivent aller au-delà de la simple conformité pour atteindre un statut de cyber-résilience.
Le point commun de ces risques est que les auteurs obtiennent un accès illégal en exploitant des mécanismes d'authentification et d'autorisation faibles. Des mesures plus strictes, telles que le chiffrement et la signature électronique des emails, peuvent aider à identifier une éventuelle attaque de type "whaling". Une vérification basée sur un certificat PKI d'un nouvel appareil dans le réseau peut l'empêcher d'injecter des logiciels malveillants.
Comment élaborer une stratégie de cybersécurité résiliente ?
Alors que le paysage cybernétique devient de plus en plus complexe, la stratégie de sécurité basée sur l'identité gagne la reconnaissance qu'elle mérite. Cette approche exige que chaque utilisateur, appareil ou application autorisé se voie attribuer une identité numérique vérifiable. Avant d'accéder aux informations protégées de l'entreprise, cette identité numérique doit être validée à l'aide de mécanismes de sécurité appropriés.
En d'autres termes, toutes les entités de l'écosystème sont considérées comme non fiables jusqu'à ce qu'elles parviennent à s'authentifier. Cette approche est plus connue sous le nom de l’approche Zero-Trust.
L’approche Zero-Trust peut contribuer à prévenir les attaques liées à l'usurpation d'identité, par exemple en mettant en œuvre une authentification multifactorielle et en limitant l'accès aux données sensibles en fonction du rôle et des autorisations de l'utilisateur. Cette méthode simple, mais très efficace, peut également être étendue aux utilisateurs externes tels que les sous-traitants, les fournisseurs, les partenaires et les clients finaux, afin de garantir un accès sécurisé à toutes les parties prenantes et d'améliorer le niveau de sécurité dans son ensemble.
Réussir le déploiement d’une approche Zero-Trust
Pour adopter avec succès une approche de Zero-trust, les organisations doivent élaborer des politiques innovantes qui garantissent des environnements de travail sécurisés sans nuire à la facilité d’utilisation pour les employés. Par exemple, utiliser la même méthode de connexion pour tous les usages au lieu d'obliger vos utilisateurs à se souvenir de plusieurs mots de passe non sécurisés.
Les mécanismes de sécurité peuvent également être appliqués à différents niveaux. Par exemple, si un appareil autorisé de l'entreprise, connecté au domaine, est authentifié au réseau de l'entreprise par un certificat, il ne nécessite pas d'authentification supplémentaire pour certains services et applications. Mais pour accéder au même service depuis son domicile ou à l'aéroport, une authentification multifactorielle est nécessaire pour confirmer l'identité de l'utilisateur.
Une autre excellente façon d'améliorer la facilité d'utilisation est d'exploiter les appareils existants tels que les smartphones et les ordinateurs portables pour l'authentification des utilisateurs plutôt que de leur demander de conserver des tokens.
L'introduction de l'authentification sans mot de passe et de l'authentification unique contribue également à améliorer l'adoption par les utilisateurs.
N'oubliez pas que la sécurité physique et la sécurité digitale sont étroitement liées et ne peuvent être dissociées. L'intégration du contrôle d'accès physique avec un système solide de gestion des identités et de l'accès digital garantit un véritable contrôle des identités de l'entreprise. L'automatisation et le self-service réduisent les coûts en limitant au minimum les tâches manuelles et les problèmes liés au service support.
Les appareils d'entreprise souvent oubliés - IT , OT , et IoT - doivent également faire objet d’une approche Zero-Trust. Il est important de protéger chaque appareil connecté, car un seul appareil non protégé peut être exploité.
Créer un paysage cyber sécurisé avec l’approche Zero-trust
Face au nombre croissant de cyberattaques visant à perturber les opérations et à nuire à la réputation, les organisations sont contraintes de faire de la cybersécurité une priorité stratégique.
L’adoption des technologies émergentes telles que l'intelligence artificielle (IA) et le machine learning, le cloud qui gagne en popularité, et les exigences réglementaires fortes sont tous disposés à influencer les stratégies de cybersécurité au cours des prochaines années. Les organisations doivent être conscientes des risques éventuels et des capacités d'intégration des systèmes afin de mettre au point des stratégies de sécurité solides.
Une approche Zero Trust basée sur l'identité peut aider les organisations à développer une cyber-résilience systémique à long terme.
Vous souhaitez mettre en place une politique Zero Trust ? Notre liste de contrôle vous permet de couvrir les points les plus critiques!
Published
07/06 2023