L’impact de la pandémie de COVID-19 sur la cybercriminalité est indéniable, car cette dernière a augmenté radicalement par rapport aux années précédentes. De leur côté, les cybercriminels ont su s’adapter rapidement pour exploiter les angoisses et les peurs de leurs victimes, ce qui s’est traduit par l’augmentation exponentielle des rançongiciels. Les pirates sont de plus en plus ambitieux et ne ciblent plus seulement les particuliers et les PME, mais aussi les grandes organisations, car ces dernières ont été contraintes de déployer dans l’urgence de nouveaux systèmes, réseaux et applications, des cibles idéales, et ce qui leur permet donc de faire un maximum de dégâts et de s’enrichir. Les vulnérabilités de sécurité résultant du télétravail sont une aubaine pour les criminels, car elles augmentent leur capacité de nuisance et leur permettent de voler des données et de générer des profits.
Le rapport européen d’Interpol explique comment les cybercriminels exploitent la pandémie
Selon le rapport européen d’Interpol, les cybercriminels profitent de la pandémie pour déployer des rançongiciels sur des systèmes essentiels et dans les institutions de santé en première ligne pour la réponse à la pandémie. Le clonage de sites Web officiels des autorités par des entités malveillantes est de plus en plus fréquent pour tenter de voler des données sensibles pouvant servir à d’autres cyberattaques. D’autre part, des campagnes d’usurpation d’identité à grande échelle ont été signalées par les forces de police européennes.
En France, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est présente sur plusieurs fronts. Par exemple, l’ANSSI développe activement la plateforme OpenCTI en coopération avec le CERT-EU. Cet outil est destiné à l’intégration, au stockage, à la gestion et au partage de la connaissance en matière d’analyse de la cybermenace (CTI). D’autre part, l’ANSSI, vient de publier deux rapports donnant une vue d’ensemble des types d’activités malveillantes (Appel de Paris pour la confiance et la sécurité dans le cyberespace). Ces rapports viennent compléter les travaux de l’OCDE (Organisation pour la coopération et développement économique), également basée en France, sur la sécurité des technologies de l’information et de la communication, dans le sillage des recommandations du rapport sur la gestion des risques datant de 2015. Ces rapports ont pour but de renforcer la sécurité des produits et services pour permettre aux organisations françaises d’améliorer leur gestion des menaces et des vulnérabilités.
Sécurisation de l’accès aux ressources essentielles
Plus précisément, le modèle Zero-Trust monte en puissance en France parce qu’il est perçu comme une solution de sécurisation de l’accès aux ressources IT essentielles, internes et externes, afin de s’assurer que le télétravail, le BYOD et les réseaux sont sûrs. Jusqu’à présent, l’application et l’efficacité de certaines solutions, pourtant destinées à mettre en place le modèle Zero-Trust, laissent à désirer, en raison d’un manque de maturité. En effet, leur déploiement est susceptible d'entraîner des erreurs d'installation ou de configuration, d'accroître la vulnérabilité des systèmes d'information et de donner aux entreprises un faux sentiment de sécurité. Quoi qu’il en soit, les entreprises françaises cherchent toujours comment mettre en œuvre le modèle Zero-Trust.
Pour rappel, le modèle Zero-Trust vient modifier le paradigme de la stricte logique périmétrique qui a longtemps prévalu, notamment la « confiance implicite » prônée par la notion classique de périmètre de défense. Aujourd’hui, le recours accru au cloud computing, au télétravail et aux moyens personnels (BYOD) réduit le contrôle que les équipes IT exercent sur leurs systèmes d’information et leurs données. En parallèle, la surface d’attaque et le niveau des menaces augmentent. Dans ce contexte, les mesures traditionnelles de sécurisation du système d’information (SI), telles que les pares-feux, le cloisonnement (physique ou logique) ou les VPN, butent sur des limites. Le modèle Zero-Trust prend le contre-pied de cette approche en faisant évoluer le concept de périmètre et en ne faisant confiance à personne, que ce soit dans ou à l’extérieur du réseau.
De la « confiance implicite » à « ne faire confiance à personne »
Zero-Trust est synonyme de « ne faire confiance à personne » et définit des règles qui renforcent la sécurité des réseaux contre les attaques, qu’elles proviennent de l’intérieur ou de l’extérieur de l’organisation. Le modèle Zero-Trust recommande d’organiser les réseaux de façon à pouvoir contrôler le trafic et l’accès ; de mettre en place des solutions d’analyse exhaustives et automatiques pour gérer les incidents ; d’assurer une gestion centralisée et la visibilité du réseau, des données, des charges de travail, des utilisateurs et des appareils.
Dans la logique Zero-Trust, l’accès est aussi limité que possible, afin de ne pas accorder de privilèges excessifs à qui que ce soit, contrairement à la notion de « confiance implicite » du modèle traditionnel, et l’accès aux ressources ne doit se faire que sur la base du besoin de les connaître. Par exemple :
- l’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour réaliser la tâche ;
- les demandes d’accès doivent être contrôlées de la même manière quelles que soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité) ;
- la politique d’accès aux ressources doit être dynamique et prendre en compte un large nombre d’attributs (identités de l’accédant et de la ressource consultée, sensibilité des ressources sollicitées, analyse comportementale de l’utilisateur, horaires d’accès, etc.) ;
- l’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès et de manière récurrente durant l’usage ;
- les authentifications et autorisations d’accès aux ressources doivent faire l’objet de réévaluations régulières.
Comment le chiffrement crée des angles morts
L’essor du chiffrement du trafic Internet complique la mise en œuvre efficace du modèle Zero-Trust. Cela est dû au fait que le chiffrement crée des angles morts dans les défenses. La visibilité est l’une des clés de l’implémentation du modèle Zero-Trust, car sans visibilité complète du trafic chiffré, ce modèle va échouer et des vulnérabilités risquent de s’introduire.
Par conséquent, il est essentiel de disposer d’une solution de déchiffrement dédiée. Toute entité envisageant la mise en place du modèle Zero-Trust doit le considérer cette étape comme un composant essentiel de sa stratégie de sécurité.
Adoption d’une approche progressive du Zero-Trust
Une bascule complète vers un modèle Zero-Trust apparaît peu envisageable pour les entités dotées d’un patrimoine informatique hérité et cloisonné, car elle requerrait une remise à plat totale du système d’information. Par conséquent, nous recommandons une mise en œuvre plus progressive, prenant en compte les points clés indiqués ci-dessus. La transformation doit être graduelle et contrôlée de façon à assurer la protection des données, des actifs et du système d’information hérité.
De nombreuses entreprises françaises amorcent leur transition vers le modèle Zero-Trust. Dans un contexte de télétravail, d’une main-d'œuvre fortement distribuée et d’évolution des menaces, l’approche Zero-Trust, si elle est abordée de la bonne façon, peut contribuer à réduire les risques.
Par Manuel Martinez, Sr. Pre-Sales, South EMEA, A10 Networks