Crise du Covid 19 : le crépuscule du firewall pour les accès distants ?

La crise du Covid 19 a obligé nombre d’organisations à accroître rapidement leurs capacités d’accès à distance et à instaurer le télétravail pour leurs employés dans des proportions inconnues jusqu’alors. Cette multiplication des accès à distance a généré de nouvelles menaces de sécurité, les cyber criminels essayant de profiter de cette nouvelle situation à leur avantage en exploitant toutes les failles possibles, en commençant par l’usurpation de l’identité des demandeurs d’accès.

Dans ce contexte, les organisations doivent prendre à court terme un ensemble de mesures pour sécuriser leurs opérations, qui passe par des méthodes d’authentification et d’autorisation d’accès plus robustes, éliminant au maximum le recours aux mots de passe, et des politiques d’authentification adaptives, basées pour chaque accès sur le contexte et une analyse du risque.

A plus long terme, elles devront abandonner définitivement le modèle traditionnel de sécurité périmétrique qui est devenu une relique du passé. En effet, utiliser le firewall comme méthode d’accès standard aux données et aux applications n’est plus valable, la majorité du trafic provenant désormais de l’extérieur du réseau d’entreprise.

Et elles devront consolider en lieu et place un périmètre de sécurité basé sur l’identité, obéissant au modèle zéro trust.

Dans l’immédiat, pour sécuriser au mieux tous leurs accès à distance, quatre mesures vont s’imposer aux entreprises, qui forment les premières briques d’une stratégie zéro trust.

Première brique d’un modèle zéro trust, une autorité d’authentification centralisée permet à une entreprise de sécuriser et de contrôler en un seul point l’ensemble des accès aux ressources dans tous ses domaines et sur toutes ses plates-formes, des clouds public et privé aux environnements sur site. Supportant tous les types d’identités, humaines ou non, toutes les catégories d’utilisateurs, applications et environnements, elle a aussi la capacité d’identifier les comportements à risque en préservant un bon équilibre entre sécurité et simplicité pour les utilisateurs.

Complément d’une autorité d’authentification centralisée, le ‘single sign on’ permet comme son nom l’indique à un utilisateur de s’authentifier une seule fois pour accéder à toutes les ressources disponibles.

Basée sur l’utilisation de jetons de sécurité standard communiquant à la fois transmis par l’autorité d’authentification et communiquant à la fois l’identité du demandeur, la session et d’autres informations requises, une solution SSO accroît la productivité des utilisateurs tout en permettant à plusieurs applications et services d’utiliser les mêmes informations.

En outre elle s’adapte à l’accès à tous les types d’applications, qu’elles soient standard, mobiles ou SaaS, ainsi qu’aux API.

L’authentification multifacteur est le meilleur outil qu’une entreprise peut utiliser pour améliorer immédiatement sa posture de sécurité dans le contexte d’une multiplication des accès à distance, en éliminant sa dépendance aux mots de passe. La mise en œuvre d’une solution MFA est réussie lorsqu’elle garantit de façon stricte l’identité des demandeurs d’accès sans affecter significativement leur productivité. Elle doit pouvoir supporter de nombreux facteurs d’authentification, qui pourront être choisis en fonction du contexte de la demande d’accès, parmi lesquels : l’identification biométrique, les emails, les notifications en ‘push’, la voix, ainsi que les jetons de sécurité au standard FIDO et au standard OATH.

Cette solution MFA devra être étendue à toutes les demandes d’accès, y compris pour se connecter à des liens VPN, ou à des environnements client léger (VDI et RDS) par exemple de type Citrix ou VMWare.

Au-delà d’une solution et par exemple pour l’accès à des ressources ou des données critiques, l’authentification adaptive renforce encore la sécurité tout en optimisant l’expérience utilisateur. En s’appuyant sur un ensemble de facteurs contextuels, elle réduit encore les risques d’usurpation d’identité en confirmant avec certitude que le demandeur d’accès est bien ce qu’il prétend être. Ces facteurs peuvent inclure l’adresse IP, la géolocalisation, la signature du mobile ou l’heure de la journée.

L’authentification adaptive peut aussi analyser en même temps l’utilisateur, son terminal et les ressources demandées pour évaluer le profil de risque de la demande et adapter le niveau d’authentification requis en conséquence.

L’intelligence artificielle et le ‘machine learning’ peuvent également être utilisés pour déterminer, en fonction de l’historique de ses accès, si le comportement d’un utilisateur est normal ou non. En cas de comportement d’accès jugé anormal, l’authentification adaptive peut exiger un niveau supérieur d’authentification, en faisant intervenir un facteur supplémentaire par exemple.

Une fois ces mesures adoptées, les entreprises auront fait un pas important vers l’adoption complète d’un modèle zéro trust, et se seront affranchies du modèle de sécurité traditionnel, selon lequel tous les accès distants aux ressources doivent nécessairement transiter par le firewall et le réseau d’entreprise.