Quand avez-vous été victime d'un hameçonnage pour la dernière fois ? À l'instant même ? Plus tôt dans la journée ? Hier ? C'était probablement plus récemment que vous ne le pensez, le phishing régnant en maître sur le marché de l'hameçonnage. l'attaque la plus courante liée aux informations d'identification selon le rapport Verizon 2024 Data Breach Investigations Report et avec des 3,4 milliards de spams aurait sorti tous les jours.
Une question encore plus intéressante : Quand le premier quand vous avez été victime d'un hameçonnage ? Il y a dix ans ? Vingt ans ? Plus de vingt ans ? Si vous étiez en ligne en 2000, vous avez peut-être même été attaqué par le ver ILOVEYOU, un système d'hameçonnage très précoce qui a mis hors service les systèmes de courrier électronique d'AT&T et du Pentagone, entre autres.
Tout cela nous amène à la question la plus importante : Pourquoi diable cela se produit-il encore, et que faut-il faire pour y mettre un terme ?
Jusqu'à présent, nous ne disposions pas du bon paradigme de sécurité pour lutter efficacement contre le phishing. Mais la bonne nouvelle, c'est que nous l'avons maintenant : La confiance zéro.
Le phishing persiste pour plusieurs raisons : il est facile à réaliser, il est difficile à combattre et il rapporte gros. La méthode utilisée pour se faire passer pour quelqu'un d'autre est incroyablement simple : il suffit de se faire passer pour quelqu'un d'autre et, ce faisant, d'amener la victime à fournir des identifiants de connexion qui lui permettront d'accéder à des données précieuses et à d'autres ressources.
Comme Charlie Brown fait confiance à Lucy Les victimes de l'hameçonnage, qui n'ont pas l'habitude de déplacer le ballon de football, semblent se laisser berner et commettre le même faux pas à chaque fois. Cela s'explique par le fait que les méthodes des auteurs de l'hameçonnage évoluent constamment. Par exemple, Les premières tentatives d'hameçonnage se faisaient généralement par courrier électronique ; aujourd'hui, elles sont tout aussi susceptibles d'inclure des messages textuels et d'autres formes de communication. Les changements constants de formes et de méthodes font qu'il est de plus en plus difficile pour les destinataires de reconnaître les tentatives d'hameçonnage. divers systèmes d'hameçonnage pour ce qu'ils sont, même lorsque le destinataire est quelqu'un qui devrait être mieux informé.
Tant que les systèmes d'hameçonnage continueront à fonctionner, les organisations continueront à perdre de l'argent et les mauvais acteurs continueront à s'enrichir. La valeur moyenne la plus récente des brèches résultant d'un hameçonnage ? $4,76 millions, Selon le rapport d'IBM "Cost of a Data Breach Report 2023", le coût d'une atteinte à la protection des données est de 1,5 milliard d'euros.
Mais il existe un moyen de parvenir à un résultat différent, et il réside dans la confiance zéro.
Après toutes ces années où les attaques de phishing ont fait des millions de victimes dans les entreprises, nous assistons aujourd'hui à un changement dans la façon dont nous nous défendons contre le phishing, les ransomwares, les attaques de la chaîne d'approvisionnement et d'autres menaces - un changement qui est de très bon augure pour des défenses plus efficaces contre le phishing.
Dans ce contexte, la confiance zéro apparaît comme l'un des moyens les plus efficaces d'améliorer la sécurité en dépassant les paradigmes traditionnels fondés sur le périmètre pour lutter plus efficacement contre les menaces.
Comme l'indique le rapport Gartner® rapport "Réponse rapide : Quels sont les principes fondamentaux de la confiance zéro ?": "La confiance zéro est un paradigme. Il remplace la confiance implicite par une évaluation continue des risques et des niveaux de confiance, basée sur l'identité et le contexte."
Dans le paradigme de la sécurité zéro confiance, vérifier que quelqu'un ou quelque chose n'est pas digne de confiance n'est plus un événement ponctuel qui se produit uniquement en réponse à une tentative d'accès ou à un autre événement potentiellement risqué. Au lieu de cela, les organisations doivent vérifier la fiabilité constamment. Il s'agit de s'éloigner de l'idée de "faire confiance, mais vérifier", qui est le fondement de la sécurité, et d'adopter plutôt le concept "ne jamais faire confiance, toujours vérifier".
Aujourd'hui, certaines des organisations les plus sûres au monde - celles qui font directement ou indirectement partie du gouvernement - demandent à Zero Trust d'améliorer leur sécurité. Le mémorandum exécutif de l'Office américain de la gestion et du budget (OMB) M-22-09 définit une stratégie fédérale d'architecture de confiance zéro pour le gouvernement. En Europe, la directive NIS2, qui est la législation européenne en matière de cybersécurité, intègre les principes de l'architecture de confiance zéro. Les sept principes de la confiance zéro-tel que défini par l'Institut national américain des normes et de la technologie (NIST).
Vous vous demandez peut-être comment les directives gouvernementales de haut niveau sur la confiance zéro décrites ci-dessus s'appliquent à la lutte contre le phishing. Le rapport Gartner rapport affirme que : "Les responsables de la sécurité et de la gestion des risques peuvent s'appuyer sur cinq principes fondamentaux pour faire progresser la stratégie de confiance zéro de leur organisation. Nous pensons que plusieurs de ces principes fondamentaux sont directement liés aux efforts de lutte contre l'hameçonnage :
"Établir l'identité". Pour satisfaire à ce principe de confiance zéro, le rapport Gartner indique que les organisations ont besoin "d'une politique organisationnelle établie pour savoir 'qui doit avoir accès à quoi, quand et pourquoi'".
Nous pensons que cette politique est l'une des mesures les plus efficaces que les organisations peuvent prendre pour renforcer leur sécurité globale et se défendre contre le phishing en particulier. Avec cette politique en place, les utilisateurs qui se font hameçonner sont tout simplement moins susceptibles d'avoir accès à des cibles de grande valeur que les mauvais acteurs cherchent à obtenir. Les comptes hameçonnés auront également moins de possibilités de se déplacer latéralement et de trouver ou de demander de nouveaux droits à exploiter.
Le rapport note également qu'une autre exigence nécessaire pour répondre à ce principe est le "soutien technologique pour la mise en œuvre de facteurs multiples d'authentification".
Étant donné que le phishing cible les informations d'identification, une solution telle que l'authentification multifactorielle (MFA) de RSA pourrait considérablement limiter les dommages qu'une seule information d'identification compromise pourrait causer.
"Accès limité". Les organisations ne doivent pas se contenter d'établir l'identité et de déterminer à l'avance les droits dont un utilisateur donné a besoin : elles doivent également s'efforcer de limiter l'accès chaque fois que cela est possible. Dans le cas du phishing, limiter l'accès permet de s'assurer que les mauvais acteurs ne peuvent pas s'appuyer sur les informations d'identification d'un utilisateur pour obtenir ce qu'ils veulent. C'est pourquoi le rapport Gartner recommande, pour tendre vers la confiance zéro, que "les utilisateurs ou les systèmes n'aient accès à une ressource qu'en fonction de la nécessité d'exécuter une fonction requise".
De même, le rapport note qu'un accès limité nécessite "une réduction des zones de confiance implicites et des droits accordés aux comptes d'utilisateurs". Nous pensons que moins de personnes avec moins d'accès et plus de verrous créent ensemble un environnement où il n'y a tout simplement pas autant de possibilités d'exploitation pour un acteur malveillant.
Pour soutenir cet environnement, Gouvernance et cycle de vie de l'ASR fournit un cadre pour la gestion des accès qui ne se contente pas de savoir à quoi les utilisateurs ont accès, mais également ce à quoi ils ont accès. faire avec cet accès.
"Fournir un accès adaptatif basé sur le risque". Si vous avez lu un article sur la confiance zéro, vous savez que l'une des idées clés de l'architecture est "Ne jamais faire confiance, toujours vérifier". Cela signifie que les organisations valident chaque demande d'accès dans l'instant avant d'étendre les privilèges ou l'accès. Cette idée de vérification continue est mentionnée dans ce point du rapport Gartner : "Le passage d'un contrôle ponctuel des accès à une évaluation continue des risques au cours d'une session".
L'authentification basée sur le risque est essentielle pour progresser vers la confiance zéro et prévenir le phishing, car les cybercriminels disposant d'informations d'identification piratées sont susceptibles d'essayer d'enregistrer un nouvel appareil, de travailler à partir d'un nouvel emplacement ou de tenter d'accéder à l'appareil en dehors des heures de travail habituelles de l'utilisateur réel. RSA Risk AI peut détecter ces signaux et contester les tentatives d'accès en conséquence. (Et même si un acteur malveillant parvient à entrer dans un premier temps, la capacité de renseignement basée sur les risques limitera la durée de son séjour).
Si la perspective de lutter contre le phishing avec Zero Trust est enthousiasmante, il est également important de noter que le phishing n'est en aucun cas la seule forme d'hameçonnage. seulement vecteur de menace contre lequel les organisations peuvent se défendre en utilisant la confiance zéro.
###
Télécharger le rapport Gartner, Réponse rapide : Quels sont les principes fondamentaux de la confiance zéro ?
Gartner, Inc. Réponse rapide : Quels sont les principes fondamentaux de la confiance zéro ? Wayne Hankins, Charlie Winckless, Andrew Lerner. Publié à l'origine le 2 mai 2024.
GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde. Tous les droits sont réservés.
