Récemment, l'Office américain de la gestion et du budget (OMB) a publié le document suivant Mémorandum M-22-09 qui exige des agences qu'elles atteignent des objectifs spécifiques de sécurité "zéro confiance" d'ici à la fin de l'année fiscale 2024. Progresser vers la confiance zéro est l'un des principaux objectifs de modernisation de la cybersécurité gouvernementale, comme le souligne le document The Décret 2021 sur l'amélioration de la cybersécurité nationale.
Comme le décrit l'architecture de référence de la confiance zéro du ministère de la défense, "le principe fondamental du modèle de confiance zéro est qu'aucun acteur, système, réseau ou service opérant à l'extérieur ou à l'intérieur du périmètre de sécurité n'est digne de confiance". Au contraire, tout ce qui tente d'établir un accès doit être vérifié.
Le passage à la confiance zéro met l'accent sur "le renforcement des contrôles d'identité et d'accès de l'entreprise, y compris l'authentification multifactorielle (AMF)", car sans "systèmes d'identité sécurisés et gérés par l'entreprise, des adversaires peuvent s'emparer de comptes d'utilisateurs et prendre pied dans une agence pour voler des données ou lancer des attaques". Les processus d'authentification doivent pouvoir "détecter et empêcher la divulgation des secrets d'authentification et des résultats à un site web ou à une application se faisant passer pour un système légitime". Le mémorandum précise également que l'AMF doit être intégrée au niveau de l'application, par exemple par le biais d'un service d'identité d'entreprise, plutôt que par le biais d'une authentification réseau, telle qu'un réseau privé virtuel (VPN).
RSA soutient le passage à un modèle de confiance zéro. Nous aidons les organisations et les agences du monde entier à relever ce nouveau défi grâce à une approche complète et moderne de la gestion des identités et des accès (IAM). RSA propose une gamme de méthodes d'authentification multifactorielle (MFA) pour répondre aux besoins des différents utilisateurs et cas d'utilisation. RSA rétablit les identités des utilisateurs de confiance tout en employant simultanément l'apprentissage automatique et l'analyse basée sur les risques pour détecter les activités anormales, y compris les attaques de phishing potentielles. Nous offrons également une gouvernance intelligente et des capacités de cycle de vie conçues pour réduire la surface d'attaque d'une organisation. Pour protéger l'organisation contre les menaces externes et internes, nos produits éliminent les sur-autorisations qui peuvent être exploitées par des acteurs menaçants.
Alors que nous avons aidé nos agences gouvernementales à évoluer vers la confiance zéro et à se préparer au M-22-09 et au décret, nous avons aidé nos clients à répondre à un grand nombre de questions sur la manière de répondre à ces nouvelles exigences :
RSA propose une large gamme d'options MFA solides pour aider les agences fédérales à authentifier en toute sécurité les utilisateurs de n'importe où à n'importe quel endroit, y compris les systèmes de nouvelle génération et les anciens systèmes de l'agence. Le passage au cloud, le travail à distance et les initiatives numériques ont modifié les réseaux, et le périmètre qui a toujours protégé les ressources continue de se dissoudre. Aujourd'hui, les employés de chaque agence doivent se connecter depuis de nombreux endroits différents ; certains doivent même se connecter sans accès à l'internet. Cette diversité d'environnements et d'utilisateurs pose toute une série de défis en matière d'authentification, mais les organismes publics doivent être en mesure de fournir une authentification sûre et pratique, quel que soit l'endroit où se trouvent les personnes ou les appareils.
Les solutions RSA connectent n'importe quel utilisateur, de n'importe où, à n'importe quoi. Nous proposons plusieurs choix d'authentificateurs pour répondre aux exigences des différentes agences et aux préférences des utilisateurs, y compris la prise en charge de FIDO. En tant que membre du conseil d'administration de la FIDO Alliance et coprésident du groupe de travail sur les entreprises, nous avons fait pression pour supprimer les mots de passe bien avant que cela ne soit à la mode, et nous sommes heureux que d'autres organisations de l'industrie de l'authentification et de la protection des données se soient intéressées à cette question. plates-formes prennent aujourd'hui des mesures similaires. Notre plateforme d'identité prend en charge authentification sans mot de passe avec une disponibilité de 99,95%, y compris une fonction "no-fail" qui permet l'authentification sans connexion au réseau, de sorte que les utilisateurs peuvent s'authentifier en toute sécurité même si la connectivité est interrompue, ou s'ils n'ont pas d'accès à l'internet.
RSA offre une variété de fonctionnalités IAM pour répondre aux exigences fédérales en matière de confiance zéro, de sécurité et d'authentification dans le nuage, et nous sommes agréés par FedRAMP et jouissons de la confiance des agences gouvernementales les plus sensibles. À ce stade, certaines agences peuvent avoir des applications qui ne prennent pas en charge FIDO, et nous travaillons pour aider les clients en tant que solutions et les entreprises à faire passer leur infrastructure et leurs applications pour prendre en charge FIDO. En attendant, les agences peuvent continuer à avoir besoin de solutions de mots de passe à usage unique (OTP), mais il est important de comprendre que toutes les solutions OTP ne sont pas créées de la même manière.
L'OTP SecurID mis en œuvre de manière sécurisée utilise plusieurs contrôles pour empêcher un pirate d'accéder à un OTP basé sur le temps (TOTP). Il empêche également l'utilisation du TOTP dans les rares cas où un pirate y accède. Contrairement au TOTP par SMS, dont la fenêtre temporelle est généralement de 10 à 15 minutes, notre fenêtre temporelle n'est que de 60 secondes. En outre, le SMS OTP est transmis par un canal non sécurisé qui est régulièrement la cible d'abus frauduleux, ce qui n'est pas le cas du TOTP.
En limitant la durée de vie d'un OTP à une minute, RSA empêche les mauvais acteurs de stocker des facteurs d'authentification en vue d'une utilisation ultérieure. Et même lorsqu'un acteur malveillant tente de réutiliser l'OTP dans cette fenêtre de 60 secondes, notre serveur d'authentification n'accepte pas un OTP qu'il a déjà vu. Ce rejet crée un événement vérifiable, car l'utilisateur réel doit alors s'authentifier une seconde fois pour obtenir l'accès, ou l'utilisateur se voit simplement refuser l'accès. Le fait de ne pouvoir utiliser un OTP qu'une seule fois pour s'authentifier empêche un fraudeur de reproduire ou de stocker la tentative d'authentification d'un utilisateur légitime. Les OTP SecurID ne peuvent être utilisés qu'une seule fois et leur durée de vie est extrêmement courte.
Notre moteur de risque basé sur l'apprentissage automatique détecte également les anomalies comportementales. L'authentification basée sur le risque RSA utilise des techniques et des technologies pour évaluer le risque qu'une demande d'accès représente pour l'organisation. Grâce à l'apprentissage automatique, l'authentification basée sur le risque tire des enseignements de ses évaluations et applique ces connaissances aux futures demandes.
RSA sécurise non seulement l'authentification, mais aussi l'ensemble du cycle de vie de l'identité grâce à la gestion des mots de passe en libre-service, à la certification d'accès facile et aux processus automatisés JML (joiner, mover, leaver), qui garantissent un accès approprié et conforme tout au long du cycle de vie de l'utilisateur. RSA gère le provisionnement et le déprovisionnement des authentificateurs et fournit des outils d'assistance pour gérer les situations telles que les jetons perdus et les accès d'urgence.
RSA utilise également des méthodes cryptographiques basées sur des normes pour protéger toutes les communications nécessaires au traitement d'une tentative d'authentification. Nous utilisons un cryptage de bout en bout du PIN et de l'OTP, qui va au-delà du cryptage de la couche de transport, de sorte que les OTP ne peuvent pas être décryptés par un proxy. Ces méthodes protègent non seulement l'OTP et le PIN lorsqu'ils sont transportés à l'intérieur, à l'extérieur et à travers les réseaux, mais elles garantissent également que les différents composants logiciels peuvent s'authentifier eux-mêmes.
L'hameçonnage est un problème qui ne disparaît pas, Il est important de se rappeler que la technologie ne fonctionne pas de manière isolée. Le succès d'une attaque par hameçonnage peut tenir autant à la psychologie humaine qu'à la technologie. Une main-d'œuvre bien formée devrait être votre première ligne de défense. Les employés qui sont à l'affût des courriels d'hameçonnage ne cliqueront pas sur des liens suspects qui permettent aux attaquants de prendre pied.
En offrant un choix d'options d'authentification et en élaborant des modèles comportementaux, les organismes publics peuvent mettre en place une solution d'authentification résistante à l'hameçonnage qui offre une défense en profondeur allant au-delà de tout facteur d'authentification particulier.
Il est également important de se rappeler que la qualité d'une technologie dépend de sa mise en œuvre. Une bonne solution d'authentification ne doit pas se contenter de traiter les menaces potentielles d'hameçonnage. Un provisionnement et une gestion du cycle de vie des titres de compétences doivent être des éléments holistiques de la solution d'authentification. RSA a ouvert la voie et établi des pratiques standard dans l'industrie pour atteindre ces objectifs pour l'authentification basée sur l'OTP.
RSA propose des innovations et des solutions d'authentification pratiques depuis des décennies. Notre technologie éprouvée bénéficie de la confiance des clients gouvernementaux et commerciaux les plus sensibles à la sécurité dans le monde entier. Notre IAM offre les capacités dont votre organisation a besoin pour atteindre les objectifs nationaux essentiels en matière de cybersécurité. Nos solutions d'authentification ont fait leurs preuves et nous continuons d'innover et d'affiner nos implémentations à mesure que le paysage des menaces évolue.
