La vulnérabilité la plus faible de votre organisation n'est pas un système non corrigé, un mot de passe facile à deviner ou une équipe de sécurité assiégée.
Au lieu de cela, la vulnérabilité la plus importante est quelque chose de beaucoup plus large et de plus difficile à gérer : la confiance.
Au cours des dernières semaines, nous avons assisté à une vague de cyberattaques utilisant un mélange d'exploits et visant un certain nombre de secteurs qui utilisent tous la confiance pour briser la sécurité de l'organisation :
- Les Attaque de SolarWinds a utilisé un système de mise à jour fiable pour installer un code malveillant dans près de 18 000 organisations, dont le Pentagone, le ministère de la sécurité intérieure, l'administration nationale de la sécurité nucléaire, des hôpitaux et de grands médias.
- La semaine dernière, une nouvelle campagne orchestrée par le même groupe que SolarWinds (Nobelium) a piraté le fournisseur de courrier électronique de l'U.S. AID, Constant Contact, pour envoyer des courriels contenant des URL malveillants à environ 3 000 comptes à plus de 150 groupes internationaux de développement et de défense des droits de l'homme.
- Les pirates informatiques tirent parti de changeant COVID-19 pour envoyer de faux courriels "provenant" de directeurs de l'information afin de voler les informations d'identification des employés.
(Nous ne savons pas avec certitude si le groupe qui a forcé l JBS Foods met fin à ses activités aux États-Unis et en Australie ont eu recours à des tactiques similaires, mais nous continuerons à suivre l'affaire pour voir si la confiance a joué un rôle).
Dans tous ces exploits, les malfaiteurs envoient des liens ou des programmes d'installation à partir d'un site prétendument source fiable. S'adapter à cela peut être un défi : dans une société complexe, à distance, où l'on travaille de partout, nous devons faire confiance à nos collègues, à nos fournisseurs et à nos systèmes pour effectuer notre travail, passer des commandes, effectuer et recevoir des paiements.
Les utilisateurs ont besoin de confiance. Mais les organisations ne peuvent pas se le permettre. En ligne, la confiance peut être un handicap majeur.
Nous avons discuté confiance zéro avant : il ne s'agit pas d'un numéro de pièce ou d'un produit. Il n'y a pas de SKU pour cela ou de formulaire de commande rapide pour l'acheter.
Au contraire, la confiance zéro est un principe. état d'esprit que les équipes de sécurité devraient commencer à développer. D'une manière générale, la confiance zéro est l'état d'esprit classique du "moindre privilège", juste étendu à une plus grande échelle. C'est un moyen de faire les bons compromis coûts/bénéfices pour protéger ce qui compte le plus sans ralentir les utilisateurs ou briser l'activité de l'entreprise.
L'un des moyens les plus efficaces de progresser vers La confiance zéro consiste à donner la priorité à l'identité et n'oubliez pas que la gestion des accès aux identités (IAM) et l'administration de la gouvernance des identités (IGA) ont une portée très large. Elles s'appliquent à vos utilisateurs, ressources, applications et vos fournisseurs : pour appliquer le modèle "ne jamais faire confiance, toujours vérifier" de Zero Trust, vous devez commencer par définir des politiques de gouvernance afin d'accorder le bon accès aux bons utilisateurs et de tenir à jour la liste de leurs rôles et privilèges. Les entreprises ont besoin de moyens plus efficaces, plus rapides et plus intelligents pour suivre et contrôler ces informations.
Là encore, les notions d'IAM et d'IGA sont très larges : les récents piratages de Nobelium soulignent la nécessité d'inventorier toutes les données de l'entreprise. La sécurité des systèmes et des accès de l'entreprise doit être renforcée et l'authentification solide. Les systèmes d'entreprise basés sur le cloud comme Office 365, Salesforce, Slack et Constant Contact ont besoin d'une authentification plus forte, l'authentification basée sur le risque pour garantir sécurité des nuages et de protéger à la fois les identités personnelles et le matériel organisationnel sensible. En outre, les piratages démontrent également la nécessité pour les entreprises d'éliminer leur vulnérabilité aux mots de passe et aux identifiants volés (et de réaliser des économies significatives) en adoptant les mesures suivantes sans mot de passe.
En identifiant, en gérant et en réduisant le degré de confiance que nous accordons aux utilisateurs et aux ressources, nous pouvons tirer profit de nos connexions et limiter les dommages qu'elles peuvent causer à nous-mêmes, à nos collègues et à nos entreprises. En fin de compte, la confiance zéro n'est pas une destination : c'est un voyage que nous entreprenons, un voyage au cours duquel nous apprenons et réapprenons constamment les compromis que nous devons faire dans un monde en ligne. De plus en plus, il s'agit d'un voyage qui vaut la peine d'être entrepris.
