Dans le monde numérique d’aujourd’hui, et plus particulièrement dans le monde de la cybercriminalité, de l’IA et de la désinformation, « Zero Trust, always verify » n’est plus seulement une option, mais une nécessité pour sortir gagnant et non perdant de la dynamique de plus en plus forte de l’évolution de la cybersécurité et de la révolution de l’IA pour les prochaines années.
Confiance zéro et élimination de la « vieille ficelle » de la confiance implicite comme partie essentielle de la cybersécurité et de la préparation à l’IA
Dans le monde numérique d’aujourd’hui, une cybersécurité globale n’est plus seulement une option, mais une nécessité critique pour l’entreprise. Un principe central de la confiance zéro est l’élimination totale de la confiance implicite. Outre les mesures techniques, de tels « vieilles ficelles » et paradigmes ne peuvent être éliminés qu’au moyen d’un état d’esprit largement formé et adapté des utilisateurs concernés. La stratégie Zero Trust garantit qu’aucun utilisateur, appareil, logiciel, application, accès, autorisation, système, mais aussi information et contenu médiatique en général ne soit automatiquement digne de confiance, qu’il se trouve à l’intérieur ou à l’extérieur du réseau technique ou social familier – même si c’était le cas jusqu’à présent. Cette stratégie est basée sur le principe « ne jamais faire confiance, toujours vérifier » (Zero trust, always verify) et nécessite une vérification, un contrôle et une validation continus de tous les accès, autorisations, états et activités correspondants.
Plus de philosophie que de technologie
Zero Trust n’est pas seulement une solution technologique, mais une philosophie de sécurité globale. Pour être efficace, elle nécessite une combinaison de technologies, de processus et de personnes. La mise en œuvre de Zero Trust signifie qu’en plus des nombreuses adaptations techniques, les entreprises doivent avant tout modifier fondamentalement leur culture de la sécurité et s’assurer que tous les collaborateurs comprennent l’importance de la sécurité et agissent en conséquence.
Mesures techniques et organisationnelles (TOM), MFA, CA, PAM, PIM, XDR
Les mesures techniques et organisationnelles (TOM) sont essentielles pour la mise en œuvre d’architectures à confiance zéro (ZTA). Il s’agit de mesures telles que l’authentification multifactorielle (MFA), l’accès conditionnel, la gestion de tous les points finaux/appareils au moyen de solutions de détection et de réponse étendues aux points d’accès (XDR, EDR), la gestion des accès et des identités privilégiés (PAM, PIM), le cryptage, les politiques de sécurité spéciales forcées (Policy Enforcement), la segmentation du réseau/des ressources, l’accès à distance sécurisé et la surveillance continue. Ces mesures contribuent à minimiser la surface d’attaque et à garantir que seuls les utilisateurs et appareils autorisés de manière sûre ont un accès, même limité dans le temps, aux données et systèmes sensibles. D’autres mesures organisationnelles, telles que la sensibilisation à la cybersécurité et l’explication spéciale des méthodes de travail au moyen des principes « Zero Trust », permettent en outre de former des « compagnons de lutte contre la cybercriminalité » internes, capables de réfléchir de manière critique et d’agir de manière adéquate.
Vérification continue dans une situation de menace dynamique
Zero Trust exige en outre une vérification et un contrôle continus de tous les accès, autorisations et activités. Cela signifie que les utilisateurs et les appareils doivent être régulièrement contrôlés et validés afin de s’assurer qu’ils sont toujours autorisés. Cette vérification continue permet de détecter et d’empêcher à temps les menaces potentielles dans le cadre d’une surveillance étendue.
4 principes – vérification explicite, autorisation la plus faible possible, conscience de la confiance zéro et acceptation d’une brèche active
Les quatre principes de la confiance zéro sont la vérification explicite, l’autorisation la plus faible possible (principe du « besoin de savoir »), la conscience critique de la confiance zéro ou de ses conséquences organisationnelles / techniques et l’acceptation d’une brèche active. La vérification explicite garantit que chaque accès est contrôlé et validé à chaque fois et de manière illimitée dans le temps et dans l’espace. L’autorisation la plus faible possible garantit que les utilisateurs n’ont que les droits d’accès minimaux nécessaires. La conscience du « zero trust » à entraîner signifie que tous les collaborateurs comprennent l’importance de la sécurité soutenue par le « zero trust » et agissent en conséquence dans ce mode de travail adapté.
Le concept d’assumer une brèche active (« Assume Breach ») signifie que les entreprises supposent consciemment, sur le plan scénaristique, que leurs systèmes sont déjà compromis. Cela conduit à une stratégie de sécurité différente et plus proactive, adaptée à l’état dynamique des menaces, dans laquelle les menaces existantes ou potentielles sont continuellement recherchées et des mesures sont prises pour mieux les détecter et les prévenir.
Inventaire permanent, également contre le « Shadow IT ».
Un inventaire permanent du matériel, des logiciels, des services en nuage, des applications, des utilisateurs, des utilisateurs clés, des données personnelles, des sous-traitants et des autorisations est essentiel pour la mise en œuvre de la confiance zéro. Cet inventaire, qui contient de nombreux détails pertinents, permet de minimiser la surface d’attaque et de garantir que seuls les utilisateurs et appareils autorisés ont accès aux données et systèmes sensibles, notamment en cas de modification ou d’adaptation du système. Un tel inventaire peut être combiné et optimisé avec une analyse d’impact de la protection des données, un registre des sous-traitants, une gestion de la continuité des activités et une gestion des réponses aux incidents dans le cadre de la gestion des risques et de la conformité des TIC, ainsi qu’avec un reporting continu. La documentation complète sur plusieurs « devoirs dans l’informatique » et leur contrôle constitue également un outil d’optimisation continue et, espérons-le, de reprise de contrôle (« take back control ») sur les éléments à risque et même sur les « vieilles reliques », les « vieilles tresses » de l’informatique fantôme (« shadow IT »).
Approche combinée de différents éléments / catégories dans le sens du « Best of Breed »
La confiance zéro exige une approche combinée de différents éléments et catégories dans l’esprit du « best of breed ». Cela signifie que les entreprises combinent les meilleures technologies et solutions disponibles afin de développer une stratégie de sécurité la plus complète et la plus large possible. Cette approche combinée permet de minimiser la surface d’attaque contre la cybercriminalité et de garantir que seuls les utilisateurs et appareils autorisés se voient proposer un accès aux données et systèmes sensibles et qu’ils y ont effectivement accès.
Zero Trust est un processus de transformation continu avec de petites étapes d’amélioration
Zero Trust est un processus de transformation continu qui nécessite des améliorations permanentes. Les entreprises doivent régulièrement revoir et adapter leurs stratégies et mesures de sécurité afin de s’assurer qu’elles répondent aux menaces et défis en constante évolution. De petites étapes d’amélioration peuvent faire une grande différence et aider à améliorer continuellement la situation en matière de sécurité.
Cybersécurité et IA Sensibilisation des employés
Un élément important de la stratégie Zero Trust est la sensibilisation des employés à la cybersécurité et aussi à l’IA. Cela comprend des formations et des ateliers qui sensibilisent (par exemple « start thinking, stop clicking ! ») aux risques de sécurité et permettent aux employés d’agir en étant conscients de la sécurité. Les collaborateurs doivent comprendre les risques et les exigences des solutions TIC et plus particulièrement de l’IA et reconnaître l’importance de la sécurité/intégrité des informations.
Penser de manière critique et poser des questions basées sur le contexte
La « pensée critique » et le fait de poser des questions basées sur le contexte sont essentiels pour garantir la sécurité dans un environnement « zéro confiance » et également « Deepfake IA / univers IA ». Les collaborateurs devraient être encouragés et habilités à penser de manière critique et à poser des questions contextuelles afin d’identifier et de réduire les failles de sécurité potentielles ainsi que les dépenses / résultats / contenus / informations erronés du système. Cela contribue à réduire la dangereuse crédulité du système – notamment en ce qui concerne l’utilisation contextuelle du prompting avec des outils d’IA (« context-based KI prompting ») et leurs résultats / actions – et à augmenter la sécurité globale dans l’univers d’information « imprégné d’IA ».
Une politique d’information transparente et une nouvelle culture d’apprentissage sont importantes pour sensibiliser les collaborateurs, leur donner les moyens d’agir et les amener à un niveau supérieur dans le domaine de leur « souveraineté et maturité numériques » personnelles.
L’IA Readiness, également au profit de mesures de sécurité
L’intégration de l’intelligence artificielle (IA) / de la préparation à l’IA dans la stratégie globale des TIC est un autre aspect important, notamment pour la « confiance zéro ». Les entreprises devraient s’assurer qu’elles sont prêtes à utiliser les technologies d’IA pour améliorer l’efficacité, l’automatisation et les mesures de sécurité. Cela comprend la formation des collaborateurs à l’utilisation critique et contextuelle de l’IA (« context-based AI prompting ») et la mise en œuvre de solutions de sécurité basées sur l’IA.
IA deepfake et désinformation
Les technologies d’IA deepfake et la désinformation en général représentent une menace croissante pour la sécurité des organisations et des personnes. Les entreprises doivent être conscientes de cette menace (p. ex. spécialement aussi les campagnes d’ingénierie sociale et de phishing assistées par IA) et prendre des mesures pour s’en protéger. Cela comprend la mise en œuvre de technologies et de processus pour détecter et empêcher les attaques de deepfakes/désinformation/ingénierie sociale/phishing ainsi que la sensibilisation des collaborateurs à cette menace, y compris à la croyance dangereuse dans le système en particulier.
Fridel Rickenbacher a été cofondateur, co-directeur général, partenaire, membre du conseil d’administration et participe aujourd’hui en tant qu’« entrepreneur dans l’entreprise » / « consultant senior » à Swiss IT Security AG / Swiss IT Security Group. Au niveau fédéral, il est représenté en tant qu’expert et acteur dans « Digital Dialog Switzerland » + « Stratégie nationale pour la protection de la Suisse contre les cyberrisques SOC ». Dans le cadre de sa mission « sh@re to evolve », il est actif depuis des années en tant que membre de la rédaction, membre de groupes d’experts et activiste d’associations telles que SwissICT, swissinformatics.org, isss.ch, isaca.ch, bauen-digital.ch dans les domaines de la numérisation, de l’ingénierie, des nuages, de l’architecture des TIC, de la sécurité, de la confidentialité, de la protection des données, de l’audit, de la conformité, du contrôle, de l’éthique de l’information, des consultations législatives correspondantes ainsi que de l’éducation et de la formation (CAS, diplôme fédéral).
Cet article a été publié pour la première fois en decembre 2024 dans la revue Schwyzer Gewerbe et est reproduit ici avec l’autorisation de l’auteur.
Photo: AI generated.
