Meilleures pratiques pour une authentification "zero trust
L'évolution rapide vers davantage de travail à distance et l'explosion du nombre d'appareils qui en découle ont considérablement augmenté le nombre de cybermenaces. Dans ce contexte, les entreprises sont confrontées au défi de protéger leurs écosystèmes technologiques hautement complexes basés sur le cloud, car les employés, les logiciels et même les organisations partenaires peuvent constituer une menace pour la sécurité des systèmes et des données de valeur. En conséquence, l'approche "zero trust" s'est imposée comme un cadre de sécurité populaire.
Dans une architecture "zero-trust", la confiance inhérente au réseau est supprimée. Au lieu de cela, le réseau est considéré comme hostile et chaque demande d'accès est vérifiée sur la base d'une politique d'accès. Une structure Zero-Trust efficace combine plusieurs outils et stratégies et repose sur une règle d'or : ne faire confiance à personne. Au lieu de cela, chaque entité (personne, appareil ou module logiciel) et chaque demande d'accès aux ressources technologiques doit fournir suffisamment d'informations pour mériter cette confiance. Si l'accès est accordé, il ne s'applique qu'à l'actif spécifique nécessaire à l'exécution d'une tâche et pour une durée limitée.
Le rôle de l'authentification zéro-trust
Étant donné que l'authentification multi-facteurs (MFA) traditionnelle basée sur un mot de passe peut être facilement contournée par les cybercriminels, une approche efficace de la confiance zéro nécessite une validation forte des utilisateurs par une MFA sans mot de passe et résistante au phishing. Il faut également établir la confiance dans le terminal utilisé pour accéder aux applications et aux données. Si les entreprises ne peuvent pas faire confiance à l'utilisateur ou à son appareil, tous les autres composants d'une approche "zero-trust" sont inutiles. L'authentification est donc essentielle à la réussite d'une architecture "zero trust", car elle empêche l'accès non autorisé aux données et aux services et rend l'application du contrôle d'accès aussi granulaire que possible. Dans la pratique, cette authentification doit être aussi fluide et conviviale que possible afin d'éviter que les utilisateurs ne la contournent ou ne bombardent le service d'assistance de demandes d'assistance.
Les avantages d'une authentification sans mot de passe
Le remplacement de l'AMF traditionnel par des méthodes d'authentification forte sans mot de passe permet aux équipes de sécurité de construire la première couche de leur architecture de confiance zéro. Le remplacement des mots de passe par des clés de passage basées sur FIDO, qui utilisent la cryptographie asymétrique, et leur combinaison avec la biométrie sécurisée basée sur les appareils, crée une approche MFA résistante au phishing. Les utilisateurs sont authentifiés en prouvant qu'ils possèdent le dispositif enregistré, qui est lié cryptographiquement à leur identité, par une combinaison d'authentification biométrique et de transaction cryptographique asymétrique. La même technologie est utilisée dans le cadre de la sécurité de la couche de transaction (TLS), qui permet de garantir l'authenticité d'un site web et d'établir un tunnel crypté avant que les utilisateurs n'échangent des informations sensibles, par exemple dans le cadre des opérations bancaires en ligne.
Cette méthode d'authentification forte offre non seulement une protection considérable contre les cyberattaques, mais peut également réduire les coûts et les tâches administratives associés à la réinitialisation et au verrouillage des mots de passe avec les outils MFA traditionnels. Mais surtout, il y a des avantages à long terme grâce à l'amélioration des processus de travail et de la productivité des employés, car l'authentification est conçue de manière particulièrement conviviale et sans friction.
Aperçu des exigences d'une authentification "zero trust
Il est important que les entreprises qui souhaitent mettre en œuvre un cadre de confiance zéro se penchent le plus tôt possible sur l'authentification. Pour ce faire, elles devraient être attentives aux points suivants :
1. validation forte de l'utilisateur : Un facteur fort pour confirmer l'identité de l'utilisateur est la preuve de la possession de l'appareil qui lui a été attribué. Celle-ci est fournie lorsque l'utilisateur autorisé peut prouver qu'il s'authentifie sur son propre appareil. Pour ce faire, l'identité de l'appareil est liée de manière cryptographique à l'identité de l'utilisateur. Ces deux facteurs éliminent les mots de passe ou autres secrets cryptographiques que les cybercriminels peuvent récupérer sur un appareil, intercepter via un réseau ou arracher aux utilisateurs par ingénierie sociale.
2. validation forte de l'appareil : Avec une validation forte des appareils, les organisations empêchent l'utilisation d'appareils BYOD non autorisés en n'autorisant l'accès qu'aux appareils connus et fiables. Le processus de validation vérifie si l'appareil est lié à l'utilisateur et s'il répond aux exigences de sécurité et de conformité nécessaires.
3. une authentification conviviale pour les utilisateurs et les administrateurs : Les mots de passe et la MFA traditionnelle prennent beaucoup de temps et nuisent à la productivité. Une authentification sans mot de passe est facile à mettre en place et à gérer et vérifie les utilisateurs en quelques secondes grâce à un scanner biométrique installé sur leur appareil.
4. intégration avec des outils de gestion et de sécurité informatiques : La collecte d'un maximum d'informations sur les utilisateurs, les appareils et les transactions est très utile pour décider d'accorder ou non un accès. Un moteur de politique zéro-trust nécessite l'intégration de sources de données et d'autres outils logiciels afin de prendre des décisions correctes, d'envoyer des alertes au SOC et de partager des données de journaux fiables à des fins d'audit.
5. moteurs de politiques avancés : L'utilisation d'un moteur de politiques avec une interface conviviale permet aux équipes de sécurité de définir des politiques telles que les niveaux de risque et les scores de risque qui contrôlent l'accès. Les moteurs de politiques automatisés aident à collecter des données provenant de dizaines de milliers d'appareils, y compris plusieurs appareils appartenant aussi bien au personnel interne qu'à des prestataires de services externes. Étant donné que l'utilisation de scores de risque au lieu de données brutes est utile dans de nombreuses situations, le moteur doit également accéder aux données d'un certain nombre d'outils de gestion et de sécurité informatiques. Une fois la collecte effectuée, le moteur de politiques évalue les données et prend les mesures définies dans les politiques, par exemple l'autorisation ou le blocage d'un accès ou la mise en quarantaine d'un appareil suspect.
L'authentification multi-facteurs traditionnelle basée sur un mot de passe représente désormais un obstacle très faible pour les attaquants. Un processus d'authentification qui est à la fois résistant au phishing et sans mot de passe est donc un composant clé d'un cadre de confiance zéro. Cela permet non seulement de réduire considérablement les risques de cybersécurité, mais aussi d'améliorer la productivité des employés et l'efficacité de l'équipe informatique.
