Quel avenir pour le Zero Trust ?

Bien que chaque tentative d’extorsion puisse créer un sentiment renouvelé d’utilité pour mieux sécuriser les réseaux et les données sensibles, le fait que les ransomwares et toutes les formes de cyberattaques puissent causer des dommages durables et des traumatismes psychologiques aux individus devrait être un signal d’alarme majeur pour toute organisation qui ne s’est pas encore lancée dans un parcours de sécurité Zero Trust. Tout secteur d’infrastructure critique ou organisation à qui sont confiées des informations personnelles sensibles doit intégrer les principes fondamentaux d’un modèle de confiance zéro.

Il va sans dire que si nous n’anticipons pas déjà un peu plus loin que là où nous en sommes aujourd’hui en matière de sécurité des applications, nous serons rapidement distancés par les cybercriminels et leurs tactiques de menace émergentes. Il n’est donc jamais trop tôt pour se demander : que nous réserve l’avenir avec le Zero Trust ? Comment évoluera-t-il pour répondre non seulement à un paysage de menaces en constante évolution, mais également à la nature en constante évolution de notre monde numérique et des applications elles-mêmes ?

Pour répondre à ces questions, je me suis entretenu avec deux experts en sécurité ici chez F5 : Ingénieur distingué, Ken Arora; et directeur principal du développement de produits, Mudit Tyagi.

Cette violation du LVHN m’a vraiment fait réfléchir à la manière dont les organisations mettent en œuvre les principes ZT. C’est presque comme une période de jugement, où une année de surveillance gratuite du crédit ne suffira plus pour les consommateurs touchés par une violation. Diriez-vous que les enjeux sont beaucoup plus importants aujourd’hui pour les entreprises ?

Boue : Il est évident que les enjeux sont plus importants. Surtout avec des pirates informatiques sponsorisés par l’État qui ont le financement et les ressources techniques, ainsi que le temps, pour rechercher et lancer des attaques très ciblées contre des entreprises et d’autres nations. Sans parler du fait que cela perturbe l’état général de stabilité sociale. Nous nous souvenons de l’incident Aurora de 2010, lorsque la propriété intellectuelle de Google et d’autres sociétés américaines a été volée. Une décennie plus tard, en 2020, l’attaque de la chaîne d’approvisionnement de SolarWinds a été utilisée comme mécanisme pour pénétrer dans de nombreux réseaux sensibles. Le potentiel d’impact « à enjeux élevés » a conduit la Maison Blanche à émettre un décret présidentiel exigeant que toutes les agences gouvernementales suivent les principes de confiance zéro.

Ken : Je suis d’accord que le champ d’exposition ne fera qu’augmenter avec le temps. Et ce n’est pas seulement parce que davantage de données seront disponibles en ligne, mais aussi parce que de toutes nouvelles classes de compromis seront exposées à mesure que nous évoluons vers l’adoption de l’IA à grande échelle. Je soulignerai que la gouvernance sociétale autour de la gestion des risques de toute nouvelle technologie prend toujours du temps. Il a fallu attendre quelques années pour que les entreprises, notamment dans les secteurs réglementés, aient une responsabilité juridique. Nous l'avons vu avec Experian et T-Mobile, pour un montant collectif de plus d'un milliard de dollars. Plus récemment, nous avons vu comment des individus tels que le directeur de la sécurité d’Uber sont tenus personnellement responsables de fautes professionnelles dans des cas où une négligence importante a été constatée. Cet exemple est également parallèle au domaine des soins de santé. Je pense que ces évolutions rendent encore plus important pour les professionnels de la sécurité de suivre les meilleures pratiques et pour le système juridique d’élaborer des lignes directrices en matière de « sphère de sécurité ».

Compte tenu du contexte actuel, que pensez-vous de l’avenir du Zero Trust ?

Boue : Historiquement, Google a présenté Beyond Corp après les attaques d'Aurora comme l'une des premières incarnations du zero trust, bien que l'idée soit encore plus ancienne. Aujourd’hui, des offres telles que ZTNA et SASE ont vu le jour, appliquant les principes de confiance zéro à l’accès des utilisateurs et des appareils. Toutefois, des efforts supplémentaires doivent être déployés pour appliquer les principes de confiance zéro au sein même du réseau, là où les charges de travail interagissent entre elles pour permettre les processus métier et les expériences utilisateur. Nous considérons qu'il s'agit d'une relation charge de travail-charge zéro. En termes simples, les approches liées à l’accès tentent d’empêcher une violation de se produire, tandis que la confiance zéro au niveau de la charge de travail se concentre sur la minimisation de l’impact d’une violation en cours.

L’industrie peine à mettre en œuvre des contrôles qui respectent le principe de confiance zéro de « présumer une violation ». Pour faire face aux scénarios post-violation, les charges de travail nécessitent des « identités », tout comme les utilisateurs et les appareils. Et ces charges de travail doivent être surveillées en permanence pour empêcher les logiciels malveillants déjà présents dans le réseau de causer des dommages. Cela est particulièrement important compte tenu des environnements de travail et d’infrastructure mobiles d’aujourd’hui, où les applications sont réparties sur des clouds privés et publics ainsi que sur des systèmes hérités.

Étant donné que la confiance zéro nécessite une mentalité de « présomption de violation », elle nécessitera des mesures de sécurité bien au-delà du simple contrôle d’accès.

Ken : Exactement. Nous devons également inclure les renseignements sur les menaces, les informations de sécurité et la gestion des événements, les diagnostics et l’atténuation continus, etc. La nature changeante des applications et le trafic toujours croissant généré par l’IA exigent non seulement que nous ayons une approche holistique du zéro confiance, mais que nous appliquions ces principes à de nouveaux domaines de l’infrastructure, comme les charges de travail elles-mêmes.

Comme l’a souligné Mudit, les principes au cœur du Zero Trust sont connus et internalisés par les professions de la sécurité depuis longtemps – et je parle de sécurité au sens large, pas seulement de cybersécurité. L’incarnation la plus récente, ZTNA, consiste fondamentalement à appliquer les principes de « toujours vérifier » et de « surveiller et évaluer en permanence » à l’identité des utilisateurs et des appareils qui souhaitent accéder à un réseau.

Je pense que les prochaines étapes logiques dans l’évolution du zero trust appliqué à la cybersécurité seront : 1) passer de l'accès réseau à l'accès aux application , c'est-à-dire utiliser des abstractions et des protections de la couche application, et non de la couche réseau ; et 2) étendre l' application des principes de confiance zéro au-delà des utilisateurs et des appareils aux charges de travail.

Pourquoi la charge de travail est-elle si critique ? Et si nous allons aussi loin, appliquons-nous également les principes de confiance zéro aux pratiques de développement elles-mêmes (en pensant aux référentiels de code et autres) ?

Ken : La réponse courte est : les charges de travail sont essentielles car elles constituent la nouvelle menace interne.

Considérez que la majorité du code des applications cloud natives est développé en dehors du contrôle de l’organisation du propriétaire de application , dans un environnement open source. La maturité des pratiques logicielles utilisées pour développer ce code est généralement peu réglementée et mal documentée. Les tests effectués sur ce code, après son importation, sont principalement fonctionnels et liés aux performances, avec peu d'attention accordée aux évaluations de sécurité. En conséquence, la plupart des codes application sont « implicitement fiables », ce qui est exactement le comportement que le Zero Trust tente de dissuader. Et cela suppose des fournisseurs de code bien intentionnés. Si l’on considère en outre qu’il existe des adversaires actifs qui tentent d’utiliser le code source comme porte dérobée, cela apparaît comme une surface de menace de premier ordre. À propos, bon nombre des attaques les plus récentes qui ont fait la une des journaux : log4j, SolarWinds et 3CX sont tous des exemples d’attaques de la chaîne d’approvisionnement, qui sont hors de portée des solutions de sécurité basées sur ZTNA et sur l’identité des utilisateurs.

Concentrons-nous un instant sur ce dernier point : comment le code source peut être utilisé comme porte dérobée. Cela nous ramène à votre point précédent sur le fait que le modèle Zero Trust nécessite des mesures telles que la veille sur les menaces, la gestion des informations et des événements de sécurité, des diagnostics continus, etc.

Boue : Oui. Il est important de réfléchir à la manière dont nous envisagerions la sécurité si nous commencions par « supposer une violation ». Les contrôles centrés sur le réseau jouent un certain rôle ; ils peuvent rechercher des communications pour commander et contrôler. Cependant, l’objectif est d’empêcher le logiciel malveillant qui s’est introduit de causer des dommages. Lorsque le malware fait son travail, il doit se révéler. Lorsque nous observons toutes les charges de travail et comprenons leurs caractéristiques, nous avons de bien meilleures chances de détecter la charge de travail néfaste liée aux activités du logiciel malveillant.

Les chercheurs du MITRE ont rendu un grand service au monde de la sécurité en créant une taxonomie avec laquelle nous pouvons comprendre la plupart des attaques en termes d'une combinaison de tactiques, techniques et procédures (TTP) décrites dans le cadre MITRE ATT&CK. Ils décrivent également un ensemble de contre-mesures qui aident à détecter les TTP dans le framework MITRE D3FEND. Un élément important de ce cadre est l’analyse des processus qui nécessite l’application des principes de confiance zéro à ce niveau de charge de travail.

Il est très important que le code qui constitue la charge de travail soit analysé à la recherche de vulnérabilités par les outils Static Application Security Test (SAST) et Dynamic Application Security Test (DAST) pendant le cycle de développement. On peut également se préparer à mettre en œuvre une confiance zéro au niveau de la charge de travail en créant une base de caractéristiques de charge de travail de bas niveau telles que les « appels système » pendant le cycle de développement. Avec cette base de référence, il devient plus facile de détecter et d’analyser les anomalies à mesure que la charge de travail s’exécute en production. Le framework D3FEND propose tout un ensemble de contre-mesures axées sur le renforcement qui devraient se produire au cours du cycle de développement.

Abordons le rôle de l’IA dans la sécurité en général et dans le Zero Trust en particulier. Quels défis et opportunités en matière de sécurité l’IA va-t-elle créer ? De plus, ChatGPT a été partout dans l’actualité. J’ai vu des projections selon lesquelles 90 % du trafic Internet sera généré par l’IA d’ici 2026. Cela va-t-il changer la sécurité ? Si oui, comment ?

Boue : Les attaques automatisées sont déjà très difficiles à combattre. L'attaquant peut constamment modifier et modifier son attaque, ce qui crée beaucoup de bruit pour le SOC. Les défenseurs utilisent déjà l'automatisation pour lutter contre ces attaques automatisées. Même si nous apprenons à connaître les signatures des attaques automatisées, les faux positifs constituent un problème majeur. Grâce à l’IA, il sera plus facile d’imiter les utilisateurs normaux dans une bien plus grande mesure que les attaques automatisées d’aujourd’hui. Cela rendra la détection des anomalies plus difficile et nécessitera une analyse contextuelle très sophistiquée pour minimiser les faux positifs.

Ken : Je pense que l’IA continuera d’avoir un impact énorme sur la sécurité. Pour commencer, cela a clairement un impact important sur la façon dont les méchants exécutent leurs attaques et sur la façon dont les défenseurs détecteront et corrigeront ces attaques. En bref, le jeu du chat et de la souris va persister, l’IA étant un substitut exponentiellement plus rapide et plus agile de ce que les humains pourraient faire manuellement.

En ce qui concerne ChatGPT en particulier, je pense que le mantra de la confiance zéro consistant à ne pas faire aveuglément confiance jouera ici. Tout comme le principe de ZTNA est de « ne pas faire aveuglément confiance aux utilisateurs et aux appareils », et cela devrait être étendu aux charges de travail, je pense que la génération de contenu par l’IA nous amènera à ne pas faire aveuglément confiance au contenu. À bien des égards, cela revient à la façon dont fonctionne la société : la confiance que nous accordons à un contenu spécifique dépend de sa provenance. Par exemple, je pourrais avoir davantage confiance dans une déclaration sur l’intégrité d’un chèque provenant de ma banque que dans une déclaration similaire provenant d’une personne inconnue dans la rue. En bref, l’attribution des données est importante. Et, à mesure que l’IA génère davantage de contenu, nous verrons cette idée, qui existe dans le monde réel depuis longtemps, émerger comme une considération clé dans le monde numérique.

Compte tenu du rythme accéléré auquel de nouvelles menaces émergent, les discussions autour de l’avenir du Zero Trust sont sur le point de rester d’actualité, en particulier lorsqu’il s’agit de minimiser l’impact des menaces internes et d’appliquer les principes du Zero Trust à la charge de travail. À mesure que de plus en plus de contenu généré par l'IA inonde Internet, l'approche de l'industrie en matière de confiance zéro évoluera nécessairement, et nous présenterons davantage de perspectives à l'avenir. Merci de nous rejoindre.
____

Pour ceux qui souhaitent en savoir plus sur « assumer une violation », lisez le dernier article de Ken ici .