Récemment, j’ai lu un article sur l’une des dernières attaques de ransomware, dans ce cas contre le prestataire de soins de santé Lehigh Valley Health Network (LVHN). Aussi troublant que cela puisse être de voir des cybercriminels prendre en otage les systèmes et les données d’une organisation, cette cyberattaque était particulièrement préoccupante. Comme le décrit le média d'information The Register :
« [cybergang] BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN) aux États-Unis, a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers médicaux sensibles... LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues jusqu'à la taille. »
Bien que chaque tentative d’extorsion puisse créer un sentiment renouvelé d’utilité pour mieux sécuriser les réseaux et les données sensibles, le fait que les ransomwares et toutes les formes de cyberattaques puissent causer des dommages durables et des traumatismes psychologiques aux individus devrait être un signal d’alarme majeur pour toute organisation qui ne s’est pas encore lancée dans un parcours de sécurité Zero Trust. Tout secteur d’infrastructure critique ou organisation à qui sont confiées des informations personnelles sensibles doit intégrer les principes fondamentaux d’un modèle de confiance zéro.
Il va sans dire que si nous n’anticipons pas déjà un peu plus loin que là où nous en sommes aujourd’hui en matière de sécurité des applications, nous serons rapidement distancés par les cybercriminels et leurs tactiques de menace émergentes. Il n’est donc jamais trop tôt pour se demander : que nous réserve l’avenir avec le Zero Trust ? Comment évoluera-t-il pour répondre non seulement à un paysage de menaces en constante évolution, mais également à la nature en constante évolution de notre monde numérique et des applications elles-mêmes ?
Pour répondre à ces questions, je me suis entretenu avec deux experts en sécurité ici chez F5 : Ingénieur distingué, Ken Arora; et directeur principal du développement de produits, Mudit Tyagi.
Cette violation du LVHN m’a vraiment fait réfléchir à la manière dont les organisations mettent en œuvre les principes ZT. C’est presque comme une période de jugement, où une année de surveillance gratuite du crédit ne suffira plus pour les consommateurs touchés par une violation. Diriez-vous que les enjeux sont beaucoup plus importants aujourd’hui pour les entreprises ?
Mudit : Les enjeux sont clairement plus importants. Surtout lorsqu’il s’agit de hackers sponsorisés par des États qui disposent des financements, des ressources techniques et du temps nécessaires pour concevoir et mener des attaques très ciblées contre des entreprises et d’autres pays. Sans oublier que ces actions perturbent la stabilité sociale globale. Nous gardons en mémoire l’incident Aurora de 2010, lorsque Google et d’autres entreprises américaines ont vu leur propriété intellectuelle dérobée. Dix ans plus tard, en 2020, l’attaque de la chaîne d’approvisionnement SolarWinds a permis d’accéder à de nombreux réseaux sensibles. Face à ces enjeux majeurs, la Maison Blanche a émis un décret présidentiel obligeant toutes les agences gouvernementales à appliquer les principes du zero trust.
Ken : Je suis d’accord que le champ d’exposition ne fera qu’augmenter avec le temps. Et ce n’est pas seulement parce que davantage de données seront disponibles en ligne, mais aussi parce que de toutes nouvelles classes de compromis seront exposées à mesure que nous évoluons vers l’adoption de l’IA à grande échelle. Je soulignerai que la gouvernance sociétale autour de la gestion des risques de toute nouvelle technologie prend toujours du temps. Il a fallu attendre quelques années pour que les entreprises, notamment dans les secteurs réglementés, aient une responsabilité juridique. Nous l'avons vu avec Experian et T-Mobile, pour un montant collectif de plus d'un milliard de dollars. Plus récemment, nous avons vu comment des individus tels que le directeur de la sécurité d’Uber sont tenus personnellement responsables de fautes professionnelles dans des cas où une négligence importante a été constatée. Cet exemple est également parallèle au domaine des soins de santé. Je pense que ces évolutions rendent encore plus important pour les professionnels de la sécurité de suivre les meilleures pratiques et pour le système juridique d’élaborer des lignes directrices en matière de « sphère de sécurité ».
Compte tenu du contexte actuel, que pensez-vous de l’avenir du Zero Trust ?
Boue : Historiquement, Google a présenté Beyond Corp après les attaques d'Aurora comme l'une des premières incarnations du zero trust, bien que l'idée soit encore plus ancienne. Aujourd’hui, des offres telles que ZTNA et SASE ont vu le jour, appliquant les principes de confiance zéro à l’accès des utilisateurs et des appareils. Toutefois, des efforts supplémentaires doivent être déployés pour appliquer les principes de confiance zéro au sein même du réseau, là où les charges de travail interagissent entre elles pour permettre les processus métier et les expériences utilisateur. Nous considérons qu'il s'agit d'une relation charge de travail-charge zéro. En termes simples, les approches liées à l’accès tentent d’empêcher une violation de se produire, tandis que la confiance zéro au niveau de la charge de travail se concentre sur la minimisation de l’impact d’une violation en cours.
L’industrie peine à mettre en œuvre des contrôles qui respectent le principe de confiance zéro de « présumer une violation ». Pour faire face aux scénarios post-violation, les charges de travail nécessitent des « identités », tout comme les utilisateurs et les appareils. Et ces charges de travail doivent être surveillées en permanence pour empêcher les logiciels malveillants déjà présents dans le réseau de causer des dommages. Cela est particulièrement important compte tenu des environnements de travail et d’infrastructure mobiles d’aujourd’hui, où les applications sont réparties sur des clouds privés et publics ainsi que sur des systèmes hérités.
Étant donné que la confiance zéro nécessite une mentalité de « présomption de violation », elle nécessitera des mesures de sécurité bien au-delà du simple contrôle d’accès.
Ken : Exactement. Nous devons également inclure les renseignements sur les menaces, les informations de sécurité et la gestion des événements, les diagnostics et l’atténuation continus, etc. La nature changeante des applications et le trafic toujours croissant généré par l’IA exigent non seulement que nous ayons une approche holistique du zéro confiance, mais que nous appliquions ces principes à de nouveaux domaines de l’infrastructure, comme les charges de travail elles-mêmes.
Comme l’a souligné Mudit, les principes au cœur du Zero Trust sont connus et internalisés par les professions de la sécurité depuis longtemps – et je parle de sécurité au sens large, pas seulement de cybersécurité. L’incarnation la plus récente, ZTNA, consiste fondamentalement à appliquer les principes de « toujours vérifier » et de « surveiller et évaluer en permanence » à l’identité des utilisateurs et des appareils qui souhaitent accéder à un réseau.
Je pense que les prochaines étapes logiques dans l’évolution du zero trust appliqué à la cybersécurité seront : 1) passer de l'accès réseau à l'accès aux application , c'est-à-dire utiliser des abstractions et des protections de la couche application, et non de la couche réseau ; et 2) étendre l' application des principes de confiance zéro au-delà des utilisateurs et des appareils aux charges de travail.
Pourquoi la charge de travail est-elle si critique ? Et si nous allons aussi loin, appliquons-nous également les principes de confiance zéro aux pratiques de développement elles-mêmes (en pensant aux référentiels de code et autres) ?
Ken : La réponse courte est : les charges de travail sont essentielles car elles constituent la nouvelle menace interne.
Sachez que la majeure partie du code dans les applications cloud natives se développe hors du contrôle de l’organisation propriétaire, dans un environnement open source. Les pratiques logicielles encadrant ce développement manquent généralement de rigueur et de documentation. Les tests réalisés après intégration du code portent surtout sur les fonctions et les performances, tandis que les évaluations de sécurité sont peu considérées. Ainsi, on accorde une « confiance implicite » à la plupart du code, ce que la stratégie zero trust cherche justement à éviter. Et cela part du principe que les fournisseurs de code ont les meilleures intentions. Ajoutez à cela des ennemis actifs qui tentent d’exploiter le code open source comme porte dérobée, et vous obtenez une surface de menace majeure. Par ailleurs, plusieurs attaques récentes très médiatisées – log4j, SolarWinds et 3CX – sont des exemples d’attaques de la chaîne d’approvisionnement, échappant aux solutions ZTNA et aux dispositifs de sécurité basés sur l’identité utilisateur.
Concentrons-nous un instant sur ce dernier point : comment un code libre peut servir de porte dérobée. Cela rejoint votre remarque précédente sur le zéro confiance, qui exige des mesures comme l’intelligence sur les menaces, la gestion des informations et événements de sécurité, les diagnostics continus, et plus encore.
Boue : Oui. Il est important de réfléchir à la manière dont nous envisagerions la sécurité si nous commencions par « supposer une violation ». Les contrôles centrés sur le réseau jouent un certain rôle ; ils peuvent rechercher des communications pour commander et contrôler. Cependant, l’objectif est d’empêcher le logiciel malveillant qui s’est introduit de causer des dommages. Lorsque le malware fait son travail, il doit se révéler. Lorsque nous observons toutes les charges de travail et comprenons leurs caractéristiques, nous avons de bien meilleures chances de détecter la charge de travail néfaste liée aux activités du logiciel malveillant.
Les chercheurs du MITRE ont rendu un grand service au monde de la sécurité en créant une taxonomie avec laquelle nous pouvons comprendre la plupart des attaques en termes d'une combinaison de tactiques, techniques et procédures (TTP) décrites dans le cadre MITRE ATT&CK. Ils décrivent également un ensemble de contre-mesures qui aident à détecter les TTP dans le framework MITRE D3FEND. Un élément important de ce cadre est l’analyse des processus qui nécessite l’application des principes de confiance zéro à ce niveau de charge de travail.
Il est très important que le code qui constitue la charge de travail soit analysé à la recherche de vulnérabilités par les outils Static Application Security Test (SAST) et Dynamic Application Security Test (DAST) pendant le cycle de développement. On peut également se préparer à mettre en œuvre une confiance zéro au niveau de la charge de travail en créant une base de caractéristiques de charge de travail de bas niveau telles que les « appels système » pendant le cycle de développement. Avec cette base de référence, il devient plus facile de détecter et d’analyser les anomalies à mesure que la charge de travail s’exécute en production. Le framework D3FEND propose tout un ensemble de contre-mesures axées sur le renforcement qui devraient se produire au cours du cycle de développement.
Abordons le rôle de l’IA dans la sécurité en général et dans le Zero Trust en particulier. Quels défis et opportunités en matière de sécurité l’IA va-t-elle créer ? De plus, ChatGPT a été partout dans l’actualité. J’ai vu des projections selon lesquelles 90 % du trafic Internet sera généré par l’IA d’ici 2026. Cela va-t-il changer la sécurité ? Si oui, comment ?
Boue : Les attaques automatisées sont déjà très difficiles à combattre. L'attaquant peut constamment modifier et modifier son attaque, ce qui crée beaucoup de bruit pour le SOC. Les défenseurs utilisent déjà l'automatisation pour lutter contre ces attaques automatisées. Même si nous apprenons à connaître les signatures des attaques automatisées, les faux positifs constituent un problème majeur. Grâce à l’IA, il sera plus facile d’imiter les utilisateurs normaux dans une bien plus grande mesure que les attaques automatisées d’aujourd’hui. Cela rendra la détection des anomalies plus difficile et nécessitera une analyse contextuelle très sophistiquée pour minimiser les faux positifs.
Ken : Je pense que l’IA continuera d’avoir un impact énorme sur la sécurité. Pour commencer, cela a clairement un impact important sur la façon dont les méchants exécutent leurs attaques et sur la façon dont les défenseurs détecteront et corrigeront ces attaques. En bref, le jeu du chat et de la souris va persister, l’IA étant un substitut exponentiellement plus rapide et plus agile de ce que les humains pourraient faire manuellement.
En ce qui concerne ChatGPT en particulier, je pense que le mantra de la confiance zéro consistant à ne pas faire aveuglément confiance jouera ici. Tout comme le principe de ZTNA est de « ne pas faire aveuglément confiance aux utilisateurs et aux appareils », et cela devrait être étendu aux charges de travail, je pense que la génération de contenu par l’IA nous amènera à ne pas faire aveuglément confiance au contenu. À bien des égards, cela revient à la façon dont fonctionne la société : la confiance que nous accordons à un contenu spécifique dépend de sa provenance. Par exemple, je pourrais avoir davantage confiance dans une déclaration sur l’intégrité d’un chèque provenant de ma banque que dans une déclaration similaire provenant d’une personne inconnue dans la rue. En bref, l’attribution des données est importante. Et, à mesure que l’IA génère davantage de contenu, nous verrons cette idée, qui existe dans le monde réel depuis longtemps, émerger comme une considération clé dans le monde numérique.
Compte tenu du rythme accéléré auquel de nouvelles menaces émergent, les discussions autour de l’avenir du Zero Trust sont sur le point de rester d’actualité, en particulier lorsqu’il s’agit de minimiser l’impact des menaces internes et d’appliquer les principes du Zero Trust à la charge de travail. À mesure que de plus en plus de contenu généré par l'IA inonde Internet, l'approche de l'industrie en matière de confiance zéro évoluera nécessairement, et nous présenterons davantage de perspectives à l'avenir. Merci de nous rejoindre.
____
Pour ceux qui souhaitent en savoir plus sur « assumer une violation », lisez le dernier article de Ken ici .