Trois raisons pour lesquelles l’adoption de Zero Trust conduit à une protection contre les robots et à la sécurité du Web et des API

Aujourd’hui, le Zero Trust est la nouvelle tendance à laquelle tout le monde veut adhérer. Il s’agit de l’une des trois tendances les plus « passionnantes » identifiées par notre rapport sur l’état de la stratégie d’application 2022 et elle a constamment suscité un intérêt élevé selon Google Trends au cours des douze derniers mois.

Le résultat est que le Zero Trust est l’une des approches de sécurité les plus discutées – et les plus mal comprises – depuis que le « shift left » est entré en scène. Trop souvent, le Zero Trust est assimilé à une technologie spécifique, comme le périmètre défini par logiciel (SDP), ou à un segment de marché, comme la gestion des identités et des accès (IDAM).

Ce n’est pas vraiment surprenant. Nous avons observé la même tendance à associer des technologies ou des produits spécifiques à la « nouvelle tendance à la mode » lors de l’introduction du cloud computing. Le « cloud washing » était une pratique courante et était souvent utilisée comme une observation désobligeante sur le « caractère trouble » réel d’un nouveau produit.

Il m’appartient donc de commencer par une définition de la confiance zéro. Je vais le faire en citant mes collègues, Ken Arora et Mudit Tyagi, qui ont déjà publié un excellent guide sur ce sujet :

C’est un point important, et je le répète donc encore une fois : la sécurité Zero Trust est, au fond, un état d’esprit.

Cet état d’esprit repose sur un ensemble d’hypothèses, et les utilisations des technologies sont les conséquences de ces hypothèses.

Cela signifie que la mise en œuvre d’une technologie telle que SDP ou la sécurité API ne signifie pas que vous avez adopté la confiance zéro. Il n’existe pas de produit unique que vous mettez en place qui signifie soudainement que vous êtes « conforme à la norme Zero Trust » et donc à l’abri des attaques, des violations ou des exploits.

Ce qui est vrai, c’est que la sécurité SDP et API peut, en fait, être une réponse tactique appropriée à l’adoption d’une approche de confiance zéro. Mais pour y parvenir, vous devez commencer par certaines hypothèses de base, puis décider quels sont les meilleurs outils et technologies qui en découlent logiquement.

Pour approfondir ce sujet, examinons quelques exemples qui, comme le titre l’indique, nous amènent à conclure que la protection contre les robots et la sécurité Web et API font partie de la boîte à outils « zero trust ».

1. Une approche de confiance zéro suppose un compromis . Les utilisateurs légitimes disposant d’un accès autorisé peuvent, en fait, être compromis et donc constituer une menace involontaire et très coûteuse. Les attaquants comprennent qu’il est généralement plus facile d’entrer par les fenêtres (utilisateurs) que par la porte d’entrée (réseau d’entreprise). Les utilisateurs sont constamment menacés d’être compromis, et supposer qu’ils le sont déjà est donc la solution la plus sûre possible. La gamme d'actions potentielles à partir d'un ordinateur portable ou d'un téléphone mobile d'entreprise compromis est large et comprend le lancement d'attaques contre des sites Web et des applications qui tentent de partager des logiciels malveillants (qui incluent des logiciels malveillants, des ransomwares et tout autre logiciel à venir) ou d'exploiter des vulnérabilités pour y accéder. Étant donné que les API augmentent la « manière » dont les applications mobiles et Web accèdent aux applications et systèmes d’entreprise, il devient important d’inspecter le contenu provenant même d’utilisateurs légitimes et authentifiés pour déterminer s’il est malveillant ou non. La sécurité du Web et des API constitue donc un choix logique pour mettre en œuvre une protection contre ce risque.
   
   
2. Une confiance zéro Cette approche suppose que les qualifications ne sont pas suffisantes . Qu’un utilisateur soit un humain, une machine ou un logiciel, une approche de confiance zéro suppose que même si des informations d’identification légitimes sont présentées, l’utilisateur réel peut ne pas être légitime. Après tout, le « credential stuffing » est un problème récurrent qui exploite des informations d’identification légitimes mais volées. Il est bien connu qu’en moyenne, un million de noms d’utilisateur et de mots de passe sont signalés comme divulgués ou volés chaque jour. L’analyse de F5 conclut que 0,5 à 2 % des listes d’identifiants piratés seront valides sur un site Web ou une application mobile ciblés. Par conséquent, une approche Zero Trust doit prendre des mesures pour vérifier non seulement les identifiants, mais aussi l’identité même de l’utilisateur. Cela inclut la découverte de robots se faisant passer pour des utilisateurs légitimes. D’un point de vue tactique, cela conduit à ce que la protection contre les robots, également appelée détection de robots, joue un rôle important dans une approche de confiance zéro.
   
   
3. Une approche de confiance zéro suppose que le changement est constant . Zero Trust rejette l’hypothèse selon laquelle une fois qu’un utilisateur est vérifié et que l’accès à une ressource est autorisé, il n’y a aucun risque. Chaque transaction est considérée comme risquée et évaluée en fonction du contenu qu’elle transporte et de l’utilisateur qui l’envoie. Le détournement de session est une véritable méthode d’attaque , après tout. La vigilance constante est (ou devrait être) la devise du zero trust, qui implique d’être constamment à l’affût des contenus malveillants. Cela fait de la sécurité du Web et des API ainsi que de la détection des robots des éléments essentiels d’une approche Zero Trust.

Désormais, cette approche conduit également à d’autres outils et technologies, comme le SDP et le contrôle d’identité et d’accès, les pare-feu réseau et le CASB, ainsi qu’une multitude d’autres solutions qui atténuent les risques connus qui découlent naturellement de ces hypothèses. Mais vous ne pouvez pas simplement en mettre en œuvre un seul et considérer que votre initiative Zero Trust est terminée. C'est comme prendre du Tylénol pour soigner une jambe cassée au lieu de consulter un médecin. Oui, cela soulage la douleur, mais cela ne fait rien pour résoudre le reste du problème.

Adopter le Zero Trust comme changement d’état d’esprit menant à l’atténuation n’est pas parfait (aucune méthode ne l’est), mais cela vous permettra d’être plus adaptable et de répondre plus rapidement et avec plus de succès aux attaques nouvelles et émergentes.

Soyez prudent là-bas.

Vous pouvez en apprendre davantage sur la modernisation de la sécurité avec une approche Zero Trust dans le chapitre 5 de notre livre, Enterprise Architecture for Digital Business .