Stratégie et tendance face à la cyberguerre

Une stratégie “ nouvelle ” : le “ Zero Trust “

Une philosophie

En résumé, voici la philosophie du Zero Trust :  Zéro confiance… Ni aux utilisateurs, ni aux appareils, ni aux applications !

Attention, Le Zero Trust n'est pas un produit mais une démarche qui s’applique au fur et à mesure à votre système informatique (SI). D’ailleurs, ce n’est même pas une nouveauté puisque ce concept fut formulé en 2010 par Forrester Research.

Depuis la normalisation du travail hybride,Le Zéro trust a le vent en poupe car répondant à un besoin urgent : trouver une réponse aux besoins nouveaux de cybersécurité. En effet, la virtualisation, le cloud et le télétravail sont passés par là et ont mis à bas les références d’hier.

L’ANSSI, lui-même, avertit : « les mesures traditionnelles de sécurisation du système d’information (SI) telles que les pare-feux, le cloisonnement (physique ou logique) ou les VPN, rencontrent des limites ». 

La fin du modèle de sécurité périmétrique ?

Ainsi, les spécialistes s’accordent pour déclarer le modèle précédent, dit « de sécurité périmétrique » , comme obsolète.

Pour comprendre le système de « sécurité périmétrique », on utilise souvent l’image médiévale du château fort avec de hautes murailles protectrices. Votre réseau serait ainsi comme entouré de ces murs, pont-levis et douves empêchant tout accès malveillant… Les fameux pare-feux, anti-virus, antimalware, etc.

Seulement voilà, vos salariés ne sont désormais plus à l’intérieur du château fort mais plutôt à l’extérieur, en rase campagne, sujets aux attaques des hordes de barbares. Le travail pouvant s’effectuer partout en utilisant des accès externes, la priorité des entreprisesest devenue la sécurisation des accès encadrant la multiplication des accès distants et la dissémination des données. 

Et c’est là qu’intervient le Zero Trust...

Dans le Zero Trust interviennent ainsi différentes briques de sécurité, dont la gestion des identités, le contrôle d’accès conditionnel et l’authentification forte (MFA) avec différents types d’authentificateurs…

En voici les principes les plus marquants : 

 

 

Source : Zero Trust Architecture: An Introduction | HackerNoon

Les principes du Zéro Trust:

• Ne jamais faire confiance, toujours vérifier

A chaque fois qu’un utilisateur, un appareil ou une application cherche à se connecter, il faut l’authentifier et vérifier son autorisation, même si cela vient de l’intérieur du réseau… Il faut donc une authentification forte des utilisateurs mais aussi une validation des équipements utilisateurs.

Aucune personne/dispositif/application dans le réseau d'entreprise ne doit être fiable par défaut. La base fondamentale de la confiance doit reposer sur un contrôle d'accès renouvelé utilisant une authentification et une autorisation appropriées.

• Toujours donner un minimum d’accès ou la règle du moindre privilège

Il ne faut pas accorder aux utilisateurs ou aux applications un maximum d'accès. Au contraire, il faut réduire au minimum nécessaire les accès privilégiés et n’accorder que le strict nécessaire pour les tâches prévues. On aboutit ainsi à une micro-segmentation des réseaux. Ces contrôles permettent aux utilisateurs d’accéder à des applications spécifiques, contextualisées, en fonction de leur rôle particulier dans l’organisation.

• Inspection régulière des accès et détection des anomalies

Il faut vérifier de manière systématique et journalière les accès empruntés par les utilisateurs. Toute anomalie doit pouvoir rapidement être détectée, déclenchant alors une alerte.

• Anticiper une intrusion

Une brèche dans le système de protection est toujours possible, il faut donc l’anticiper et réduire son périmètre de zones d’attaques.

L’architecture d’accès réseau Zero Trust aura alors quatre propriétés :

1. un accès basé sur l'identité

2. un accès sécurisé aux fichiers et applications

3. une évaluation continue de l'utilisateur et de son accès tout au long de la journée

4. un contrôle d’accès rigoureux

 

 

Source : ZTNA and SASE - Consider the Security Stack when looking at SD-WAN

Zero Trust = moins d’authentification possible

Il est possible d’intégrer dans le Zero Trust du SSO (Single Sign On) avec le "Smart SSO". Si le contexte de connexion est considéré comme suffisamment sécurisé alors l’utilisateur sera autorisé à se connecter via du SSO sans passer par du MFA.

En résumé : avec une confiance inexistante et un contrôle continu, il s’agit de de trouver un équilibre entre sécurité et expérience utilisateur. Cela dit, les « protections périmétriques » ne disparaissent pas pour autant : pare-feux, proxies, etc. subsistent.

A noter, le Zero Trust a différents modèles de sécurité qui appliquent tous les principes cités auparavant.

 

 

Source : Using Zero Trust Architecture (ZTA) to Protect Remote Data Access

Le SASE, le service 100% cloud sécurisé

Dans cette quête de solutions pour les nouveaux besoins en cybersécurité, voici un service complémentaire au Zero Trust : le SASE (prononcez « sassi »), ou Secure Access Service Edge.

Il s’agit d'un concept de cybersécurité émergent, basé sur le cloud, décrit par la société d’analystes marketing Gartner, dans son rapport “L’avenir de la sécurité réseau dans le cloud” (2019).

Tout part du constat similaire à celui qui a vu naitre le Zero Trust : dans l’économie numérique, la sécurité ne peut plus s’appuyer sur le centre de données mais sur l’identité de l’utilisateur ou de l’appareil et le contexte de connexion. Les modèles de sécurité traditionnels sont désormais inadaptés pour fournir l’agilité, la flexibilité, la connectivité et la sécurité requises dans le nouvel univers numérique : “cloud natif, mobile, tout connecté”.

Or, le recours au télétravail pousse désormais de plus en plus les entreprises vers cette digitalisation centrée essentiellement sur le cloud.

La promesse du SASE ?

Fournir un service de réseau et de sécurité convergent à l’échelle mondiale, réduire les coûts et la complexité, tout en augmentant l’agilité, la visibilité et les performances.

L'objectif est donc de permettre aux entreprises de fournir facilement un accès sécurisé à toutes leurs applications, qu'elles soient hébergées dans le cloud ou localement, pour n'importe quel utilisateur, à partir de n'importe quel appareil et depuis n'importe quel endroit.

Il fusionne les services de réseau étendu et de sécurité réseau en un modèle de services unifiés, piloté depuis le cloud, pour répondre aux besoins dynamiques d’accès sécurisé des entreprises digitales.

Pour quel public ?

Si les grandes entreprises sont moins empressées à l'utiliser car disposant d'équipes dédiées à la cybersécurité, ce sont les petites et moyennes entreprises qui ont du mal à suivre le rythme des technologies de contrôle d'accès, de surveillance et de détection des menaces qui feront plus facilement appel à des fournisseurs de SASE.

Il est donc tout particulièrement attrayant pour les organisations reposant sur un usage fréquent et important du cloud et de ses services.

 

 

Source : SASE: It’s not new, but it’s “best of breed” - FutureCIO

Les composants du SASE

Le SASE se compose de six éléments essentiels en termes de capacités et de technologies :

• Un SD-WAN ( Software-Defined Wide Area Network ou réseau étendu défini par logiciel)

• un Secure Web Gateway (SWG)

• un Cloud Access Security Broker (CASB)

• un pare-feu cloud en tant que service (firewall as a service ou FWaaS)

• un service Zero Trust Network Access (ZTNA)

• une gestion centralisée

Le SASE est complémentaire au Zero Trust

L'accès réseau sans confiance, ou Zero Trust, et Secure Access Service Edge (SASE) sont des stratégies complémentaires.

La stratégie Zero Trust vise à renforcer la protection des données, tandis que le SASE est le cadre de sécurité global construit en tenant compte de cette stratégie ZT.

Si le Zero Trust implique une authentification forte des utilisateurs et l’accès sécurisé aux données et aux systèmes en fonction des ressources dont ils ont besoin, le SASE se focalise sur des plateformes de contrôle du réseau à la périphérie du cloud, protégeant les données partout où elles circulent. 

En réunissant SASE et Zero Trust, vous obtenez le meilleur des deux mondes : une architecture basée dans le cloud pour une protection plus efficace et plus sûre des personnes et des données, où qu’elles se trouvent.

 

 

Source : Getting Practical Advice for Implementing SASE and Zero Trust

Le SSE, plateforme de sécurité unique et composante du SASE

Vous verrez ou entendrez parfois aussi ce terme : le SSE (Security Service Edge).

En réalité, Il s’agit simplement d'un “ sous-ensemble du SASE ”. Son principe est d’effectuer la convergence de services de sécurité réseau fournis à partir du cloud. C’est à dire l’inverse de nombreux data center où services réseau et services de sécurité étaient séparés.

La sécurité est donc assurée par le cloud indépendamment du composant réseau que ce soit dans le domaine du cloud, de l’edge computing, de l’IoT, de l’OT ou encore de la 5G et quel que soit le lieu de connexion.

En fait, on peut diviser une plateforme SASE en deux : “ la tranche SSE qui se concentre sur l’unification de tous les services de sécurité, y compris SWG, CASB et ZTNA. L’autre, la tranche WAN Edge qui se concentre sur les services réseau, y compris le réseau étendu défini par logiciel (SD-WAN), l’optimisation du réseau étendu, la qualité de service (QoS) et d’autres moyens d’améliorer le routage vers les applications cloud “.

Le SSE se concentrant sur le regroupement et la fourniture de services de sécurité tandis que l’autre moitié du SASE concerne les services réseau.

 

 

Source : Why SSE is the new SASE, and what you need to know

Dans une autre catégorie :

 

 

 

Evolution dans la détection des cybermenaces : EDR/XDR

• Les failles des antivirus

Selon Fireeye, le temps d’attente global moyen entre une intrusion pirate et sa détection et résolution était en 2020 de 56 jours… Un attaquant aurait donc quasiment deux mois pour faire de nombreux dégâts dans un système d'information (SI). En réalité, les spécialistes considèrent que les antivirus classiques ne détectent et résolvent que 50 à 60 % des menaces.

Pour remédier à cela, la technologie EDR (Endpoint detection and response) est apparue en 2013. Elle est basée sur une mentalité de « présomption de violation » : l’idée que nulle cyberdéfense ne peut empêcher les cyberpirates d’entrer dans votre système.

• But de l’EDR ?

Réduire le temps entre le moment où un incident s’est produit et le moment où cette intrusion est neutralisée. C’est donc lorsque l’attaque a eu lieu et que votre réseau est infecté que la solution EDR, s’enclenche et s’applique. 

• En quoi consiste la solution EDR ? 

Les logiciels EDR surveillent les terminaux (ordinateurs, serveurs, tablettes, téléphones…) et non le réseau du système d’information. Ce sont des agents, installés sur les terminaux, qui collectent, archivent et analysent des données leur permettant de détecter des anomalies et d'envoyer des alertes en vue de remédiations.

Ainsi, même si le pirate a modifié la signature d’un virus trompant ainsi les antivirus classiques, son comportement va être détecté par l’EDR.

En résumé, la solution EDR permet donc de se protéger, contre les attaques connues et inconnues, en analysant des comportements suspects et ainsi répond à trois besoins majeurs : détection, investigation et remédiation.

Cependant, l'EDR est restreint car il ne peut détecter et répondre à des menaces que sur des postes de travail gérés. De plus, placer un expert cyber devant une console 24/24 et 7/7 est un luxe que peu de petites et moyennes entreprises peuvent se permettre. Par conséquent, de nombreux DSI cherchent maintenant à externaliser ces fonctions.

 

 

Source : What Is XDR Security | Extended Detection And Response

• L’extension de la détection : XDR (Extended detection and response)

Il fallait donc s’engager vers un nouveau type de sécurité instantanée, automatisée et autonome capable de prévenir, de détecter et de répondre à tous les types d’attaques.

Le XDR est né de ces besoins : il ne protège pas seulement les endpoints ( les points d’accès au réseau), mais aussi les e-mails, serveurs et cloud. En combinant les ressources humaines et l’IA (intelligence artificielle, avec le ­Machine Learning et la Threat Intelligence globale, il obtient ainsi des résultats qui dépassent ou complètent l’EDR. Il regroupe ainsi les capacités de l’EDR, DU MDR et du NDR.

A noter : Les solutions de détections et de réponses telles que les EDR et XDR, etc. ont toutes un point en commun : elles sont toutes basées sur la remédiation post-exécution ou post-infection.

 

 

Source : XDR Software Emerges as a Key Next-Generation Security Tool

Les appareils et les réseaux sont donc de mieux en mieux protégés, mais les pirates innovent sans cesse et poussent à trouver toujours d’autres solutions pour se cyberprotéger. L’usurpation d’identité est sans doute le futur ou nouveau point faible de la cyberprotection. Avec le deepfake, on doit s’attendre à une autre dimension dans le cyberpiratage à venir…

Alors que l’adoption d’un modèle de travail hybride, alternant présentiel et distanciel, s’installe durablement, les utilisateurs et leurs terminaux sont sans cesse en mouvement et doivent donc être protégés contre toute attaque possible. Désormais, l'entreprise doit constater que ses failles et ses faiblesses résident dans ses collaborateurs utilisant leurs terminaux n’importe où et n’importe quand pour accéder à des applications, des services cloud, des bases de données, des sites Web, etc. Un accès non autorisé et piraté peut alors avoir de graves conséquences.

Ainsi, un programme de sécurité qui se veut complet doit impérativement combiner le « quoi », les machines, et le « qui », les utilisateurs… sous peine d'être la future victime des cybercriminels. De nombreux spécialistes de la cybersécurité manquent pour combler les nouveaux besoins créés par cette ère du travail hybride et l'évolution digitale des entreprises. Il appartient désormais aux entreprises de relever le défi pour créer ou recruter cette légion de cyberprotecteurs dans la cyberguerre actuelle.