IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

SolarWinds : Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier"


Sujet :

Sécurité

  1. #1
    Candidat au Club
    Homme Profil pro
    Inscrit en
    Août 2022
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Août 2022
    Messages : 2
    Points : 4
    Points
    4
    Par défaut SolarWinds : Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier"
    Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier", par Sascha Giese, Head Geek, SolarWinds

    On dit qu'il faut des années pour établir une confiance et une seconde pour la détruire. Mais si vous souhaitez sécuriser votre entreprise, il est préférable de ne jamais faire preuve de confiance.

    Le concept de la sécurité zéro confiance n’est pas un phénomène nouveau. Depuis que John Kindervag, qui travaillait alors pour Forrester Research, a créé le modèle il y a une dizaine d’années, ce dernier a gagné en popularité dans les milieux de la sécurité informatique et est devenu un mot à la mode dans le secteur. Il a même été adopté par des entreprises comme Google et Gartner pour constituer la base de leurs modèles BeyondCorp et LeanTrust, respectivement.

    Pourtant, le modèle de confiance zéro n’est pas réservé aux grandes entreprises internationales et, à l’heure actuelle, alors que les cyberattaques sont à la hausse, les entreprises ne peuvent pas se permettre de se contenter de paroles. Si les entreprises, quelle que soit leur taille, veulent se protéger comme il convient et assurer la sécurité de leurs données, elles doivent changer de mentalité pour ce qui est la sécurité et adopter une approche de confiance zéro.

    Nom : noname.jpg
Affichages : 206610
Taille : 8,5 Ko
    Sascha Giese, Head Geek, SolarWinds

    Abandon du modèle « Faire confiance, mais vérifier »

    Avant le modèle confiance zéro, nous avions le modèle « Faire confiance, mais vérifier ».

    Ce modèle traditionnel de sécurité informatique fait une distinction entre le trafic interne « sécurisé » et le trafic externe « dangereux ». Il se concentre sur la robustesse des pares-feux de son périmètre et s’assure que le réseau est exempt de trafic externe non-autorisé et non-fiable. Il s’intéresse particulièrement au trafic client-serveur (également appelé trafic nord-sud) et suppose que toute activité au sein d’un réseau est sécurisée, car le pare-feu aura bloqué tous les acteurs malveillants externes.

    Le problème que présente ce raisonnement, c’est qu’il n’est plus fondé (s’il l’a jamais été). Le trafic application-application (également appelé trafic est-ouest) représente également une menace de taille, mais dans le cadre du modèle « Faire confiance, mais vérifier », toute activité malveillante dans cette direction risque de ne pas être détectée pendant un moment. Cela s’explique par le fait que le trafic application-application ne quitte pas le datacenter. Il est donc peut probable qu’il se heurte à un pare-feu de périmètre qui l’empêchera de progresser ou qui déclenchera une alarme.

    Cette brèche dans la protection a toujours fragilisé le modèle de sécurité traditionnel, mais ce problème s’aggrave. L’augmentation du télétravail a entraîné l’introduction d’une foule de nouveaux appareils sur les réseaux des entreprises, lesquels ont été considérablement développés, mais également de nouveaux points de vulnérabilité.

    La situation a été encore aggravée par l’avènement de la technologie cloud et la popularité croissante des clouds publics ou hybrides. Les pares-feux de périmètres ne peuvent pas fonctionner dans ce contexte. Ainsi, les défenses des entreprises utilisant ces environnements sont compromises. Puisque les clouds publics et hybrides introduisent de nouvelles tendances de trafic et une infrastructure partagée, ils brouillent la distinction entre le trafic interne « sécurisé » et le trafic externe « non sécurisé », ce qui génère des situations chaotiques en matière de sécurité. Il est évident qu’une nouvelle approche est nécessaire.

    La philosophie de la confiance zéro

    Cette nouvelle approche est le modèle de confiance zéro. Contrairement au modèle « Faire confiance, mais vérifier », cette nouvelle approche suppose par défaut que toute activité sur le réseau est suspecte. Les demandes internes ne sont pas privilégiées par rapport aux demandes externes et rien n’est considéré comme fiable ou privilégié. Parmi les fonctions de sécurité qui étayent cette approche stratifiée, on compte l’authentification à plusieurs facteurs, l’authentification avec privilège minimum et les contrôles stricts des droits d’accès.

    Même si de nombreuses organisations appliquent déjà certaines de ces tactiques de sécurité, c’est leur perception de la situation qui prime. Pour se protéger efficacement, les entreprises doivent comprendre qu’elles se mettent en danger en faisant preuve de confiance et qu’elles doivent adopter une approche confiance zéro dans tous les domaines de leur environnement informatique.

    Adoption du modèle confiance zéro

    Plusieurs méthodes permettent d’adopter une approche confiance zéro, mais en voici quelques-unes que les entreprises peuvent envisager.

    Tout d’abord, il convient d’appliquer des autorisations basées sur le privilège minimum, lesquelles permettent aux utilisateurs d’accéder uniquement au nombre minimum de comptes et d’outils nécessaires à l’exécution de leur travail. Le trafic réseau à destination des comptes est ainsi limité, tout comme les dommages susceptibles de résulter d’une éventuelle attaque. L’authentification à plusieurs facteurs reste bien évidemment essentielle. Cette année, l’attaque Colonial Pipeline a pu aboutir suite à la violation d’une protection VPN héritée qui ne nécessitait que l’authentification à facteur unique. Il va de soi que les entreprises doivent pouvoir vérifier les comptes et leurs autorisations rapidement et avec précision, puis signaler les changements et les écarts par rapport aux normes établies. Comme c’est le cas avec tous les autres problèmes qui touchent l’environnement informatique, vous ne pouvez pas corriger ce que vous ne voyez pas.

    Les entreprises doivent également envisager la micro segmentation, c’est-à-dire un type de contrôle d’accès qui leur permet de séparer des groupes d’applications et des charges de travail. Elle contribue à limiter au maximum tout dommage éventuel résultant d’une violation et vous pouvez l’appliquer au trafic est-ouest. En outre, si une entreprise exploite des environnements cloud publics ou hybrides, elle devrait envisager un périmètre défini par logiciel. Il s’agit d’un type de micro-segmentation conçue pour les environnements cloud, qui permet de masquer des actifs ou des terminaux dans un « cloud opaque » afin de les rendre invisibles pour tous les utilisateurs à l’exception de ceux qui doivent les utiliser et qui sont autorisés à y accéder.

    Pour terminer, la sécurité zéro confiance repose essentiellement sur la surveillance permanente et intelligente du trafic réseau. Les logiciels intelligents d’analyse et de collecte d’informations aident les équipes informatiques à assurer un suivi assidu de l’activité du réseau et à identifier rapidement tout comportement suspect. Les entreprises peuvent ainsi repérer l’activité anormale des cybercriminels qui contournent le pare-feu avant de faire des ravages.

    La sécurité zéro confiance peut sembler radicale, mais elle est essentielle si les entreprises veulent se protéger au mieux. Avec l’avènement de nouvelles technologies qui présente aux acteurs malveillants de nouvelles possibilités d’attaque, l’augmentation du télétravail qui aggrave les problèmes de sécurité et celle des violations, puis de l’activité criminelle en ligne, le modèle « Faire confiance, mais vérifier » est loin d’être suffisant. Le seul moyen pour les entreprises de protéger tout le monde, c’est de ne faire confiance à personne.

    A propos de SolarWinds :

    SolarWinds est un spécialiste mondial des solutions d’observabilité et de gestion des services informatiques, des performances des applications et des bases de données. Depuis plus de 20 ans, la société aide ses clients à accélérer la transformation de leur activité grâce à des solutions simples, puissantes et sécurisées conçues pour les environnements informatiques hybrides.

    Source : SolarWinds

    Et vous ?

    Trouvez-vous cette analyse pertinente ?

    Voir aussi :

    Cybersécurité : le « Zero Trust », l'authentification multifacteur, l'adoption du cloud et un plan d'intervention solide contre les ransomwares, font partie des recommandations de Yubico pour 2022

    75 % des organisations reconnaissent l'importance du zero trust en matière de cybersécurité, mais seules 14 % d'entre elles ont pleinement mis cette approche en œuvre, selon One Identity

    L'approche Zero Trust est essentielle pour réduire les risques de cyberattaque réussie pour toutes les organisations, Par Anthony Moillic, Directeur Ingénierie des solutions chez Netwrix

  2. #2
    Invité
    Invité(e)
    Par défaut
    Bonjour

    Pourquoi le modèle de confiance zéro doit remplacer le modèle "Faire confiance, mais vérifier", par Sascha Giese, Head Geek, SolarWinds

    Trouvez-vous cette analyse pertinente ?
    C'est tiré du dicton de Ronald Reagan ? "Faire confiance, mais vérifier" On dirait les services secret du KGB qui se surveillent eux même ... pour surveiller une personne

  3. #3
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 269
    Points : 978
    Points
    978
    Par défaut triste
    Oui, bah moi, quand je lis ce genre de titre, je me dis que c'est tout le contraire : que le "confiance zéro" c'est malheureusement la norme actuelle et que c'est la cause d'une foule de problèmes.
    Quand on se défie ouvertement des gens, il est normal qu'ils se défient de vous, voir il est normal que l'idée de vous trahir à la première occasion leur vienne puisque pour passez votre temps à le leur suggérer.
    Faire confiance, ça paie.

  4. #4
    Membre éclairé

    Inscrit en
    Novembre 2008
    Messages
    420
    Détails du profil
    Informations forums :
    Inscription : Novembre 2008
    Messages : 420
    Points : 833
    Points
    833
    Par défaut
    La confiance zéro, c'est bon pour l'ambiance.

    Par ailleurs, cela revient à interdire la créativité puisque la créativité, c'est justement le domaine de l'imprévu.
    Donc si on empêche tout le monde de faire autre chose que ce qui est prévu, personne ne pourra plus faire preuve de créativité.

    Pour quelques fauteurs de troubles, on condamne une grande majorité de gens honnêtes à travailler avec une main attachée dans le dos.
    L'auteur semble oublier que bien souvent, la sécurité est antinomique de la liberté. En militant pour une confiance zéro, il rêve ouvertement d'une généralisation du régime chinois.

    Ça fait rêver... Un monde où il faudrait passer des contrôles dignes des aéroports à chaque fois qu'on change de bureau, où les ordinateurs ne disposeraient plus de la possibilité de brancher des supports externes, où les sites accessibles sur internet seraient limités à une liste blanche, où toutes les conversations téléphoniques seraient enregistrées et analysées à la volée par des IA super performantes...
    Dans cette direction, il n'y a aucune limite.

  5. #5
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    513
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 513
    Points : 1 186
    Points
    1 186
    Par défaut
    Ingénieur sécurité depuis plus de 5 ans, j'avais fait un peu de remous à l'époque en disant que je considérais chaque employé comme un traître potentiel d'un point de vue professionnel (enfin ceux en dehors de mon cercle)

    A vrai dire la règle d'or de la programmation est: ne JAMAIS faire confiance à un utilisateur, il peut tordre ton programme dans tous les sens.

    En cyber-sécurité c'est la même chose: ne JAMAIS faire confiance à un collaborateur, que son erreur soit intentionnelle ou non.

    C'est à l'ingénieur cyber-securité de contrôler son réseau sans que cela ne soit pas contraignant pour le collaborateur.

    Et quand je parle de 0 trust, je ne dis pas d'avoir un regard méfiant ce n'est absolument pas ça: au contraire je m'entends et je rigole avec tout le monde mais quand je suis derrière mon poste, la ce ne sont que des logins, des IP, etc... que je dois controler.

  6. #6
    Membre éclairé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Septembre 2014
    Messages
    227
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2014
    Messages : 227
    Points : 773
    Points
    773
    Par défaut
    Aucune confiance en SolarWinds en tout cas après ce qu'ils ont fait l'année dernière

    la société aide ses clients à accélérer la transformation de leur activité grâce à des solutions simples, puissantes et sécurisées

  7. #7
    Membre éclairé
    Profil pro
    maçon
    Inscrit en
    Novembre 2004
    Messages
    274
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : Novembre 2004
    Messages : 274
    Points : 717
    Points
    717
    Par défaut
    Théorie théorie quand tu nous tiens ...
    Ces gens là n'ont jamais travaillé dans les pme ou tout le monde se refile les identifiants et mots de passe pour ne pas rester bloqué quand machin n'est pas là ...
    Ya ka faut kon ...

  8. #8
    Membre averti
    Profil pro
    Développeur
    Inscrit en
    Octobre 2008
    Messages
    122
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Octobre 2008
    Messages : 122
    Points : 426
    Points
    426
    Par défaut
    Attendez la, SolarWinds c'est pas cette entreprise qui a été victime d'une enorme breche en 2020?
    Ah mais si si c'est bien eux: https://en.wikipedia.org/wiki/2020_U...nt_data_breach
    Ah j'imagine qu'on peut donc leur faire confiance quand ils nous parlent de sécurité

  9. #9
    Membre émérite
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 516
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 516
    Points : 2 924
    Points
    2 924
    Par défaut
    Si je suis le raisonnement, ça veut dire que le Single Sign On, il va falloir oublier ?

    On risque d'être obligés de réduire la proportion de Mesdames Michu, alors ?

    Hé Georges, c'est quoi le mot de passe du boss, déjà ?
    Avec un H majuscule, ou pas ?
    Quoi je suis sourd, t'as qu'a venir plus près ...

Discussions similaires

  1. Réponses: 6
    Dernier message: 07/06/2019, 15h11
  2. [WD-2013] modèle avec macros ouvert mais verrouillé au démarrage
    Par zzorglub dans le forum VBA Word
    Réponses: 1
    Dernier message: 02/07/2017, 20h38
  3. Créer un modèle pour faire des prévisions
    Par matlabation dans le forum R
    Réponses: 1
    Dernier message: 07/12/2016, 18h02
  4. Réponses: 3
    Dernier message: 10/08/2010, 10h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo