Adapter l’authentification au niveau du risque : l’avenir du contrôle des accès

Avec le confinement provoqué par la crise du Covid-19, de nombreuses entreprises à travers le monde ont dû imposer le travail à distance à leurs employés. Cette généralisation du télétravail a mis en évidence les défauts du modèle traditionnel de sécurité des réseaux d’entreprise. Alors qu’autrefois il leur suffisait de déterminer si leurs employés étaient à leur bureau ou non, les organisations ne peuvent plus s’appuyer sur ce processus binaire d’authentification lorsque tout leur personnel travaille à distance.

Pour garantir que leurs employés distants puissent accéder en toute sécurité aux ressources dont ils ont besoin, les entreprises orientent leurs stratégies de sécurité réseau vers une approche de type Zéro Trust, centrée sur l’identité. Zéro Trust s’appuie sur le postulat de ne faire confiance par défaut à aucune demande d’accès et de toujours vérifier l’identité du demandeur, que la demande provienne de l’intérieur ou de l’extérieur du réseau d’entreprise.

Les utilisateurs et les terminaux devenant de plus en plus mobiles, et les applications migrant dans le cloud, les réseaux doivent être conçus en supposant que n’importe qui peut y accéder à toute heure, de n’importe où. Ce qui suppose que l’identité du demandeur soit toujours vérifiée avant d’accéder à une quelconque ressource de l’entreprise. Pour y parvenir, des signaux de risque doivent désormais être contrôlés et vérifiés en continu pour déterminer avec une confiance suffisante que les demandeurs d’accès sont bien ce qu’ils prétendent être.

Le périmètre réseau traditionnel n’étant plus suffisant pour autoriser l’accès aux ressources, les entreprises peuvent aujourd’hui exploiter des signaux de risque pour prendre des décisions d’authentification intelligentes, en analysant le contexte et le comportement des utilisateurs. En collectant en continu des informations contextuelles en arrière-plan pour comprendre le niveau de risque, elles peuvent déterminer en temps réel le niveau d’authentification requis pour accéder à une ressource. En fonction du risque identifié, l’accès peut ainsi être soit autorisé, soit nécessiter une authentification plus forte, soit refusé.

Dans l’absolu, en adoptant ce principe, un utilisateur n’a plus à s’authentifier à chaque fois qu’il accède à une ressource, mais uniquement lorsqu’un certain seuil de risque a été identifié. Dans la pratique, cela peut rendre la sécurité invisible et l’accès transparent pour l’utilisateur pourvu que ce seuil ne soit pas atteint.

Plus nombreux sont ces signaux de risque, plus une entreprise peut renforcer sa posture de sécurité et accroître sa certitude en toutes circonstances que les utilisateurs sont bien ce qu’ils prétendent être, en utilisant des fonctions qui s’appuient sur des ‘analytics’ et du ‘machine learning’.

Quatre nouvelles fonctions permettent d’analyser les signaux de risque et de prendre des décisions d’authentification intelligentes.

1 – User and Entity Behavior Analytcis (UEBA)

Les requêtes d’accès légitimes de la part d’employés ou de partenaires ont des aspects prévisibles, alors que les mêmes requêtes provenant d’acteurs malveillants ou de pirates différent souvent de la norme. Distinguer entre les demandes d’accès normales et anormales peut aider une organisation à déterminer le niveau de risque attaché à une authentification et bloquer l’accès d’un acteur malveillant si nécessaire.

Ceci nécessite d’enregistrer un historique des accès. La fonction UEBA permet d’analyser les demandes d’accès dans le temps pour apprendre les caractéristiques du comportement de chaque utilisateur, et ainsi mettre en place des politiques d’authentification intelligente. Ces politiques exploitent des modèles de ‘machine learning’ qui analysent en continu l’activité des utilisateurs pour déterminer si le comportement détecté est normal ou non.

Ces modèles tiennent compte de multiples variables de comportement pour déterminer le niveau de risque posé par le demandeur, dont : le nom d’utilisateur ; le type de terminal, son OS et sa version ; le type et la version du navigateur web ; la date, l’heure et la localisation de la demande d’authentification. Si le niveau de risque dépasse un certain seuil, la probabilité d’une activité malveillante est signalée. L’entreprise peut alors soit renforcer la procédure d’authentification, soit refuser l’accès dans cette situation.

2 – Détection de réseaux anonymes

Les acteurs malveillants empruntent généralement des réseaux anonymes, tels que des VPN inconnus, TOR ou des proxies, pour masquer leur adresse IP lorsqu’ils tentent d’accéder à des ressources d’entreprise protégées. Historiquement, cette méthode a prouvé son efficacité car elle permet aux attaquants d’être intraçables.

Pour éviter ce type d’attaque, une organisation peut désormais mettre en place une politique qui analyse l’historique de l’adresse utilisée par les utilisateurs pour accéder aux ressources. Si cette politique détermine que l’adresse provient d’un réseau anonyme, elle peut soit demander à l’utilisateur de se re authentifier, soit interdire l’accès.

3 – Réputation IP

Les acteurs malveillants utilisent souvent des adresses IP déjà utilisées pour des attaques précédentes de type DDoS ou botnets. Grâce à cette fonction qui s’appuie sur des renseignements collectés sur les cyber menaces, les organisations peuvent désormais évaluer la réputation d’une adresse IP pour mieux déterminer le risque associé à une autorisation d’accès, et décider des actions appropriées. Par exemple, si un utilisateur se connecte à partir d’une adresse IP à l’origine d’un important trafic de botnet, il pourra lui être imposé une authentification plus forte. En revanche, si un utilisateur se connecte à partir d’une adresse IP associée à une fraude en ligne, son accès sera totalement bloqué.

4 – Voyage impossible

Un autre moyen d’identifier une activité malveillante est d’analyser les changements dans la localisation d’un utilisateur. Certes les déplacements sont devenus plus fréquents et un employé peut aujourd’hui se connecter à des services et des applications à partir de plusieurs pays dans la même journée.

Mais une organisation peut détecter des situations impossibles grâce à cette fonction qui analyse la localisation d’un utilisateur d’une connexion à la suivante et calcule le temps qu’il lui faudrait pour voyage entre ces deux points. Si ce temps de transport est incohérent, alors une règle peut être appliquée nécessitant soit une re authentification de l’utilisateur soit un blocage de l’accès. Par exemple, si un utilisateur se connecte à une application à New York puis se connecte à nouveau de Moscou une heure après, cette règle s’appliquera.