La vulnérabilité la plus faible de votre organisation n'est pas un système non corrigé, un mot de passe facile à deviner ou une équipe de sécurité assiégée.
Au lieu de cela, la vulnérabilité la plus importante est quelque chose de beaucoup plus large et de plus difficile à gérer : la confiance.
Au cours des dernières semaines, nous avons assisté à une vague de cyberattaques utilisant un mélange d'exploits et visant un certain nombre de secteurs qui utilisent tous la confiance pour briser la sécurité de l'organisation :
- Les Attaque de SolarWinds a utilisé un système de mise à jour fiable pour installer un code malveillant dans près de 18 000 organisations, dont le Pentagone, le ministère de la sécurité intérieure, l'administration nationale de la sécurité nucléaire, des hôpitaux et de grands médias.
- La semaine dernière, une nouvelle campagne orchestrée par le même groupe que SolarWinds (Nobelium) a piraté le fournisseur de courrier électronique de l'U.S. AID, Constant Contact, pour envoyer des courriels contenant des URL malveillants à environ 3 000 comptes à plus de 150 groupes internationaux de développement et de défense des droits de l'homme.
- Les pirates informatiques tirent parti de changeant COVID-19 pour envoyer de faux courriels "provenant" de directeurs de l'information afin de voler les informations d'identification des employés.
(Nous ne savons pas avec certitude si le groupe qui a forcé l JBS Foods met fin à ses activités aux États-Unis et en Australie ont eu recours à des tactiques similaires, mais nous continuerons à suivre l'affaire pour voir si la confiance a joué un rôle).

Dans tous ces exploits, les malfaiteurs envoient des liens ou des programmes d'installation à partir d'un site prétendument source fiable. S'adapter à cela peut être un défi : dans une société complexe, à distance, où l'on travaille de partout, nous devons faire confiance à nos collègues, à nos fournisseurs et à nos systèmes pour effectuer notre travail, passer des commandes, effectuer et recevoir des paiements.
Les utilisateurs ont besoin de confiance. Mais les organisations ne peuvent pas se le permettre. En ligne, la confiance peut être un handicap majeur.
Nous avons discuté Confiance zéro avant : il ne s'agit pas d'un numéro de pièce ou d'un produit. Il n'y a pas de SKU pour cela ou de formulaire de commande rapide pour l'acheter.
Au contraire, le « Zero Trust » est un principe – c’est un état d'esprit que les équipes de sécurité devraient commencer à mettre en place. De manière générale, le modèle ‘ Zero Trust ’ repose sur le principe classique du « privilège minimal », mais appliqué à plus grande échelle. Il s'agit d'un moyen de trouver le juste équilibre entre coûts et avantages afin de protéger ce qui compte le plus, sans ralentir vos utilisateurs ni nuire à votre activité.
L'un des moyens les plus efficaces de progresser vers Le modèle « Zero Trust » consiste à donner la priorité à l'identité et n'oubliez pas que la gestion des accès aux identités (IAM) et l'administration de la gouvernance des identités (IGA) ont une portée très large. Elles s'appliquent à vos utilisateurs, ressources, applications et vos fournisseurs : pour appliquer le modèle ‘ ne jamais faire confiance, toujours vérifier ’ du Zero Trust, vous devez commencer par définir des politiques de gouvernance permettant d’accorder les bons accès aux bons utilisateurs et de tenir à jour la liste de leurs rôles et privilèges. Les entreprises ont besoin de moyens plus efficaces, plus rapides et plus intelligents pour suivre et contrôler ces informations.
Là encore, les notions d'IAM et d'IGA sont très larges : les récents piratages de Nobelium soulignent la nécessité d'inventorier toutes les données de l'entreprise. La sécurité des systèmes et des accès de l'entreprise doit être renforcée et l'authentification solide. Les systèmes d'entreprise basés sur le cloud comme Office 365, Salesforce, Slack et Constant Contact ont besoin d'une authentification plus forte, l'authentification basée sur le risque pour garantir sécurité des nuages et de protéger à la fois les identités personnelles et le matériel organisationnel sensible. En outre, les piratages démontrent également la nécessité pour les entreprises d'éliminer leur vulnérabilité aux mots de passe et aux identifiants volés (et de réaliser des économies significatives) en adoptant les mesures suivantes sans mot de passe.

En identifiant, en gérant et en réduisant le niveau de confiance que nous accordons aux utilisateurs et aux ressources, nous pouvons tirer parti de nos connexions tout en limitant les dommages qu’elles peuvent causer à nous-mêmes, à nos collègues et à nos entreprises. En fin de compte, le « Zero Trust » n’est pas une destination : c’est un parcours que nous empruntons, au cours duquel nous apprenons et réapprenons sans cesse les compromis que nous devons faire dans un monde connecté. Ce parcours vaut de plus en plus la peine d’être entrepris.