« Accéder à » occupe une place de plus en plus importante dans la vie de tous les jours. Au moment où je m’assieds à mon bureau pour commencer la journée de travail, j’ai déjà parcouru une douzaine de points de contrôle d’accès, consistant à désarmer et réarmer l’alarme de ma maison avec un code, à ouvrir mon iPhone avec Face ID, ouvrir et démarrer mes voitures et mon camion avec un porte-clés, me connecter à mon ordinateur portable avec une touche biométrique d’empreintes digitales et rejoindre ma première conférence de la journée avec un lien Microsoft Teams ou Zoom sécurisé.
Que ce soit physique ou numérique, l’accès (en particulier la gestion de l’accès) est à son niveau le plus simple la capacité de donner, de refuser ou de restreindre l’accès à quelque chose. Ce « quelque chose » pourrait être votre véhicule, votre maison, votre compte courant, votre ordinateur, votre téléphone portable, vos applications ou à peu près n’importe quoi d’autre dans le monde numérique d’aujourd’hui.
Concentrons-nous sur les applications pendant une minute. Ils sont au cœur de notre mode de vie numérique quotidien. Le marché des applications mobiles devrait générer plus de 935 milliards de dollars de revenus d’ici 2023. Ce n’est peut-être pas inattendu, à condition qu’une personne moyenne utilise environ 10 applications par jour simplement sur son téléphone mobile.
Les entreprises d’aujourd’hui dépendent également fortement des applications pour piloter leur service et l’aider. Et pensez à toutes les personnes qui pourraient accéder à ces applications d’entreprise depuis leur téléphone mobile ou leur bureau à domicile. Avec le monde du travail hybride d’aujourd’hui, sans parler d’un environnement basé sur le cloud hybride, la gestion de toutes ces différentes applications (sans parler de l’accès à celles-ci) a fini par être progressivement compliquée.
Les vulnérabilités Web les plus graves aujourd’hui besoin d’une conception zéro confiance
Nous comprenons qu’avec tous les avantages de la transformation numérique, il existe également de toutes nouvelles menaces à prendre en compte. Il y a aujourd’hui de graves effets pour les entreprises, leurs employés et leurs clients, car ce risque se concentre de plus en plus sur les acteurs malveillants ciblant l’identité et l’accès des utilisateurs. Si vous êtes un fan de statistiques comme moi, il y en a beaucoup pour vous aider à comprendre l’énormité de cette préoccupation. Pour moi, deux des découvertes les plus inquiétantes sont les suivantes :
- Entre 2015 et 2020, les vols de mots de passe et autres attaques liées aux informations d’identification ont entraîné plus d’occurrences et plus de pertes totales : 10 milliards de dollars — pour les organisations que toute autre action de risque (Cyentia Institute IRIS 20/20 Xtreme Details Risk Insights Study). À condition que les voies de modernisation pour les escroqueries numériques continuent de se multiplier et que l’utilisation des qualifications dans les ransomwares et les escroqueries numériques soit élevée, le besoin de crédits pris ne diminuera pas dans les années à venir.
- La vulnérabilité n°1 du Top 10 OWASP 2022 : Gestion des accès interrompus (OWASP Leading 10). Cela inclut l’infraction d’accès le moins privilégié à une application ou à une ressource.
Les attaques ciblant l’identité d’un utilisateur ont un impact sur les entreprises du monde entier et dans tous les secteurs, bien que les secteurs financier, informatique et manufacturier soient les plus touchés. . Ceci, associé à la prévalence des accès endommagés aux contrôles, rend essentiel l’utilisation d’une conception de sécurité zéro confiance.
Ne jamais faire confiance, toujours confirmer
Le mantra zéro confiance de « ne jamais faire confiance, vérifier constamment » adresse le cloud hybride d’aujourd’hui, le travail hybride et l’accès hybride aux circonstances. Sécuriser l’accès à toutes les applications et ressources, supprimer la confiance implicite et donner l’accès aux moins fortunés sont tous les principes d’un modèle de confiance zéro. Un gain crucial d’accès à la vulnérabilité réside dans la décomposition de cette approche. Comme le décrit l’OWASP, il s’agit de « la violation du principe du moindre privilège ou du rejet par défaut, où l’accès à ne devrait être accordé qu’à des capacités, des rôles ou des utilisateurs particuliers, mais est accessible à tous. »
L’un des plus grands défis auxquels les services seront peut-être confrontés lorsqu’il s’agit d’éviter cette vulnérabilité consiste à étendre l’accès d’une application de confiance zéro à la conception à travers leurs applications, en particulier leur tradition et celles personnalisées. Nous avons constaté que certaines organisations peuvent avoir des centaines à d’innombrables applications traditionnelles et personnalisées qui sont essentielles à leur service quotidien.
Beaucoup de ces applications (par exemple, les applications personnalisées, les applications de longue durée de fournisseurs tels que SAP et Oracle, et les systèmes hérités) tirent parti des approches de procédure traditionnelles telles que Kerberos ou les en-têtes HTTP pour l’authentification. Ces applications ne prennent généralement pas en charge ou ne peuvent pas prendre en charge les approches d’authentification contemporaines telles que SAML ou OAuth et OIDC. Et il est souvent coûteux et long d’essayer de moderniser l’authentification et l’autorisation pour ces applications spécifiques.
Beaucoup ne peuvent pas non plus prendre en charge l’authentification multifacteur (MFA), ce qui signifie que les utilisateurs doivent gérer diverses qualifications et différents types d’authentification et d’accès pour toutes leurs différentes applications. Cela ne fait que perpétuer le cycle du vol et de l’utilisation abusive des informations d’identification. Il y a également des coûts supplémentaires pour les entreprises pour exécuter, gérer et préserver différentes plates-formes d’authentification et d’autorisation.
Comment rendre possible l’accès zéro confiance au sein de l’entreprise hybride
L’authentification moderne est essentielle pour garantir un contrôle d’accès par demande, basé sur le contexte et l’identité dans l’assistance d’une conception zéro confiance. Combler l’espace d’authentification est l’une des étapes les plus vitales qu’une entreprise puisse exiger pour empêcher la « violation de la moindre opportunité » en permettant « ne jamais faire confiance, toujours valider » (accès à l’application par demande, basé sur le contexte et l’identité) pour leur applications traditionnelles, sur mesure et modernes. Avoir une option d’accès à la sécurité qui peut fonctionner comme un proxy conscient de l’identité (IAP) sera crucial pour étendre les capacités d’authentification contemporaines comme SSO et MFA à chaque application du portefeuille, composée de celles traditionnelles et personnalisées. Comme indiqué précédemment, il n’est pas possible pour la majorité des services de mettre à jour toutes leurs applications construites avec des techniques d’authentification héritées ou personnalisées.
La capacité de tirer parti de toutes les innovations qui se produisent dans le cloud avec les fournisseurs de services IDaaS ainsi que les améliorations apportées aux structures OAuth et OIDC, le tout sans avoir à mettre à jour les applications immédiatement, change la donne pour les entreprises . Cela peut minimiser leur exposition directe aux menaces et permettre un développement sans interruption. La main-d’œuvre peut rester productive et accéder fermement à ses applications, quelle que soit la technique d’authentification utilisée sur le backend, quel que soit l’endroit où ces applications sont hébergées (ou où se trouve l’utilisateur).
Aller au-delà de l’accès à pour une approche holistique zéro confiance
Alors que je m’inquiétais de la valeur de l’accès à dans un modèle de sécurité zéro confiance, avoir une approche vraiment holistique L’approche de la confiance zéro oblige les organisations à aller au-delà de l’accès et de l’identité. C’est parce que l’absence de confiance est l’incarnation d’une méthode de sécurité en couches. De nombreuses technologies de sécurité doivent être intégrées dans un environnement de confiance zéro, notamment :
- diagnostics et atténuation constants
- facteurs de conformité à prendre en compte
- intégration des renseignements sur les menaces et des facteurs de risque
- gestion des identités
- détails de sécurité et gestion des événements
Il est également essentiel de noter que l’adoption d’une technique de confiance zéro et la fourniture d’une architecture de confiance zéro sont mieux réalisées grâce à une exécution incrémentielle de concepts de confiance zéro, de modifications des procédures et de services technologiques (auprès de nombreux fournisseurs) pour sécuriser les informations et les fonctions de l’entreprise en fonction de scénarios de service hors cœur.
Cette technique de confiance zéro nécessite un point de vue et un état d’esprit différents sur la sécurité, en particulier lorsqu’il s’agit d’accéder à. Absolument aucune confiance ne devrait, au mieux, améliorer ce qui est déjà en place pour protéger et gérer l’accès à votre environnement existant.
Les organisations devront se protéger contre les menaces innovantes, consistant en des menaces cryptées (en particulier parce que 90 % le trafic de ces jours est crypté). Il est également essentiel d’avoir une visibilité sur l’état des applications elles-mêmes, y compris leur fonctionnement, leur niveau de sécurité et le contexte dans lequel les applications sont accessibles. Cela indique également la protection des API qui fonctionnent comme le tissu conjonctif entre les applications et sont devenues progressivement des points d’entrée trop rapidement accessibles et disponibles pour les attaques d’aujourd’hui.
Cela dit, comment commencer à résoudre ce problème ? Il existe quelques actions claires que vous et votre entreprise pouvez exiger pour commencer votre parcours holistique de confiance zéro :
- Tout d’abord, faites l’option d’adopter une méthode de confiance zéro. Gardez à l’esprit que vous ne pouvez pas supprimer et remplacer vos installations existantes. Comme indiqué précédemment, il s’agit d’un processus incrémentiel.
- Ensuite, faites l’inventaire du nombre d’applications, à la fois sur site et dans le cloud, que votre entreprise exécute et à quelle fréquence les utilisateurs y accèdent.
- Sélectionnez vos fournisseurs de confiance pour prendre en charge les étapes essentielles de votre parcours. Votre entreprise IDaaS, votre produit de proxy inverse, etc.
- Choisissez si vous devez supprimer des applications sous-utilisées, modifier certaines applications avec SaaS, migrer d’autres vers le cloud et identifier les applications que vous souhaitez mettre à jour. À ce stade, étant donné que la modernisation des applications peut être un processus long et coûteux, disposer de cette solution de proxy conscient de l’identité (IAP) pour apporter une authentification moderne à vos applications héritées et personnalisées sera crucial pour prendre en charge un modèle de confiance zéro. à vos conditions.
Gérer avec succès l’accès et la sécurité des applications dans le monde numérique d’aujourd’hui peut sembler écrasant. Cependant, ce n’est pas nécessaire. Si vous commencez par prendre des mesures de base pour permettre un accès sécurisé et avec le moins de privilèges à toutes vos applications, vous pouvez ensuite commencer à introduire progressivement un modèle de confiance zéro dans l’ensemble de votre environnement. Ce faisant, votre service sera protégé avec zéro confiance plus rapidement que vous ne le pensez.
.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
