Confiance Adaptative en Continu : L’ultime Frontière de la Trust Revolution, la révolution de la confiance

Depuis la première utilisation de l’expression « Zero Trust » en 2010, le Zero Trust est devenu de facto le paradigme du secteur de la cybersécurité. Et pour de bonnes raisons ! Une compréhension globale de la sécurité sous l’angle de la confiance accordée aux utilisateurs protège finalement mieux les ressources de votre organisation.

Mais Zero Trust est un parcours : un parcours qui dépend de votre capacité à vraiment évaluer la confiance accordée à un utilisateur lors de la gestion de leurs demandes d’accès jour après jour. La Confiance Adaptative en Continu est l’étape clé pour obtenir une architecture Zero Trust. Passer à un modèle de Confiance Adaptative en Continu, dans lequel la confiance accordée aux utilisateurs est évaluée et réévaluée en permanence, est parfaitement adapté à un parcours vers le Zero Trust basé avant tout sur la confiance.

En voici les composantes : La Confiance Adaptative en Continu (CAT, pour Continuous Adaptative Trust) est un cadre de sécurité émergeant qui vise à comprendre la méthode la plus complète permettant d’évaluer les accès aux ressources de la part des clients, des collaborateurs et des partenaires. À ne pas confondre avec CARTA (Évaluation adaptative et en continu des risques et de la confiance), la Confiance Adaptative en Continu, en tant que cadre, attire l’attention sur le fait que le contrôle des accès doit être :

• En Continu : réalisé en continu, à des points multiples et différents du parcours de l’utilisateur

   

• Adaptatif : réactif au contexte de l’utilisateur, et tenant compte de signaux de risques liés au terminal, au réseau et autres s’ils sont disponibles

   

• Basé sur la Confiance : reposant sur la confiance que nous accordons à l’utilisateur, laquelle peut changer en fonction des actes de l’utilisateur

Gartner a employé l’expression « Confiance Adaptative en Continu » pour la première fois en 2021 pour insister sur le fait que le MFA ne suffit pas pour contrecarrer efficacement les acteurs malveillants d’aujourd’hui. À l’époque, cela avait beaucoup de sens : étant donné que les menaces internes et les attaques en différé conduisent aux failles les plus importantes, l’authentification en tant que seule étape d’évaluation des risques liés à un utilisateur ne protègera pas de façon adéquate contre ces vecteurs d’attaque.

Pour pouvoir réellement répondre aux besoins liés à l’environnement actuel des menaces, vous devez évaluer en continu les risques d’un utilisateur, y compris après l’étape d’authentification. Ceci n’est pas propre à un seul secteur ni à un seul cas d’usage : que vous construisiez une stratégie de sécurité pour vos collaborateurs, vos clients ou vos partenaires, la Confiance Adaptative en Continu constitue un cadre nécessaire pour mieux protéger les données et les intérêts de vos utilisateurs.

La Confiance Adaptative en Continu est un cadre qui peut être atteint sur la voie d’une architecture Zero Trust. Zero Trust est un paradigme de sécurité plus large qui découle d’un problème : le fait que le modèle traditionnel de sécurité périmétrique n’est plus suffisante pour lutter contre les nouveaux vecteurs d’attaque. Le Zero Trust intègre également un ensemble plus vaste de technologies et de fonctionnalités nécessaires pour permettre l’actualisation, et les solutions de Zero Trust favorisent les contextes liés aux collaborateurs, où les failles ont tendance à être les plus nuisibles.

De son côté, la Confiance Adaptative en Continu est la troisième étape fondamentale sur la voie du Zero Trust, mais il s’agit aussi d’un cadre utile à la fois pour les cas d’usage de mise en œuvre de la gestion des identités des collaborateurs et des clients :

• Clients : orienter les parcours utilisateurs pour créer des expériences client sans friction tout en sécurisant les données clients contre les usurpations de comptes, les fraudes et autres

   

• Collaborateurs : utiliser des données contextuelles dans l’environnement d’une entreprise pour contrecarrer les menaces internes, les attaques latérales, et finalement autoriser les utilisateurs à accéder aux ressources appropriées

La Confiance Adaptative en Continu repose sur les idées du Zero Trust, en insistant sur la nécessité de profiter d’un contrôle et de prises de décision en temps réel pour ajuster dynamiquement les contrôles et les permissions d’accès des utilisateurs sur la base de facteurs évolutifs comme la posture de sécurité du terminal, le comportement de l’utilisateur et des changements liés à l’environnement.

Les principes du Zero Trust sont une part essentielle des principes fondamentaux de l’identité, et beaucoup d’entre eux rejoignent les principes de la Confiance Adaptative en Continu.

• Ne jamais faire confiance, toujours vérifier: Authentifier et autoriser chaque demande d’accès explicitement avant d’accorder l’accès pour s’assurer que les ressources soient bien protégées. Se concentrer en premier lieu sur la protection des ressources au lieu de prioriser des micro-périmètres ou des segments de réseaux

   

• Supposer par défaut qu’il existe une faille: Supposer que le réseau est hostile et limiter l’accès uniquement aux ressources nécessaires, à tout moment

   

• Principe du Moindre Privilège: S’assurer que les utilisateurs ne bénéficient pas inutilement de privilèges et que seules les bonnes personnes aient accès aux bonnes ressources

   

• L’Accès n’est pas Binaire: L’accès aux ressources, aux données et aux systèmes ne doit pas être considéré comme un simple concept oui/non, ou tout ou rien. Au contraire, l’accès doit être plus nuancé, et autoriser différents niveaux d’accès en fonction du contexte, des rôles ou d’autres attributs

   

• Les Utilisateurs ont Besoin de Processus pour Ajuster la Confiance: Les employés doivent pouvoir faire leur travail et les clients ont des exigences élevées en termes d’expérience utilisateur. La friction est un contrôle de gestion important mais si les risques liés aux utilisateur sont trop élevés, ils doivent pouvoir renforcer la confiance liée à leur identité, via le MFA ou d’autres méthodes

Les 2 derniers principes sont des concepts particulièrement importants : étant donné que l’accès n’est pas binaire, les utilisateurs doivent pouvoir accroître notre niveau d’assurance qu’ils sont bien ceux qu’ils prétendent être pour accéder correctement aux ressources dont ils ont besoin en qualité soit de client soit de collaborateur. Avec la Confiance Adaptative en Continu, votre système peut répondre dynamiquement au contexte des utilisateurs pour s’adapter à la complexité nécessaire des nouveaux défis en matière de cybersécurité.

Baser la sécurité digitale sur la gestion des identités vous donne le meilleur contrôle sur la façon de définir la confiance envers les utilisateurs, et de redéfinir et répondre aux évolutions de cette confiance.

1. Détecter Tous les Signaux de Risque

Il est essentiel de rassembler tous les signaux de risque car ils donnent des informations en temps réel sur les menaces émergentes et les vulnérabilités. En collectant des signaux de risque disparates et en les agrégeant au sein d’un score de risque composite, les organisations peuvent identifier proactivement des comportements à risque, évaluer leur impact, et finalement protéger les ressources et les données sensibles

2. Décider d’un Accès Approprié

Un moteur de décision est vital pour une prise de décision en temps réel alignée avec les politiques de l’organisation. Il automatise des processus complexes et analyse les données pour produire et appliquer les décisions d’accès. Ceci réduit les erreurs humaines et permet aux organisations de répondre automatiquement à des situations de sécurité dynamiques.

3. Orienter les Expériences Utilisateur de façon Appropriée

Orienter les parcours utilisateur via l’orchestration est essentiel pour obtenir une réponse automatique aux diverses actions des utilisateurs. Ceci garantit une interaction fluide entre différents processus et technologies, et permet une résolution plus rapide des problèmes, une meilleure allocation des ressources de développement, et de répondre efficacement à des défis complexes.

En savoir plus sur la façon dont la Confiance Adaptative en Continu aide à protéger les utilisateurs et sur la route vers le Zero Trust.