Effet secondaire du COVID-19, il pourrait signer la fin de la sécurité périmétrique. Première victime, le firewall. L’avis d’Arnaud Gallut, de PingIdentity.

Utiliser le firewall comme méthode d’accès standard aux données et aux applications n’est plus valable. Désormais, en effet, la majorité du trafic provient de l’extérieur du réseau d’entreprise. Il s’agit donc de consolider, en lieu et place, un périmètre de sécurité basé sur l’identité. Et d’obéir au modèle zéro trust.

Pour PingIdentity, c’est là une des conséquences de la pandémie que nous traversons. La crise a obligé nombre d’organisations à accroître rapidement leurs capacités d’accès à distance et à instaurer le télétravail pour leurs employés dans des proportions inconnues jusqu’alors. Cette multiplication des accès à distance a généré de nouvelles menaces de sécurité. Les cyber- criminels essaient de profiter de cette nouvelle situation à leur avantage. Ils exploitent toutes les failles possibles, en commençant par l’usurpation de l’identité des demandeurs d’accès.

A court terme, explique Arnaud Gallut, Country Manager, PingIdentity, les organisations doivent prendre un ensemble de mesures pour sécuriser leurs opérations. Cela passe par des méthodes d’authentification et d’autorisation d’accès plus robustes. L’objectif est d’éliminer au maximum le recours aux mots de passe. A plus long terme, elles devront abandonner définitivement le modèle traditionnel de sécurité périmétrique -devenu une relique du passé. Et donc le firewall…

Mettre en place une autorité d’authentification centralisée

Dans l’immédiat, pour sécuriser au mieux tous leurs accès à distance, quatre mesures vont s’imposer aux entreprises. Elles  forment les premières briques d’une stratégie zéro trust.

Première brique, une autorité d’authentification centralisée permettant de sécuriser et de contrôler en un seul point l’ensemble des accès. On parle ici de tous les accès, des ressources dans tous ses domaines et sur toutes ses plates-formes, des clouds publics et privés aux environnements sur site. Supportant tous les types d’identités, humaines ou non, toutes les catégories d’utilisateurs, applications et environnements, elle a aussi la capacité d’identifier les comportements à risque en préservant un bon équilibre entre sécurité et simplicité pour les utilisateurs.

Adopter une solution SSO pour tous les accès aux applications

Complément d’une autorité d’authentification centralisée, le SSO. Il permet, comme son nom l’indique, de s’authentifier une seule fois pour accéder à l’ensemble des ressources. Basée sur l’utilisation de jetons de sécurité standard, le SSO communique à la fois l’identité du demandeur, la session et d’autres informations requises. Le SSO accroît la productivité des utilisateurs tout en permettant à plusieurs applications et services d’utiliser les mêmes informations.

En outre, le SSO s’adapte à l’accès à tous les types d’applications, qu’elles soient standard, mobiles ou SaaS, ainsi qu’aux API.

Généraliser l’utilisation de la MFA

L’authentification multifacteur est le meilleur outil qu’une entreprise peut utiliser pour améliorer immédiatement sa posture de sécurité dans le contexte d’une multiplication des accès à distance, en éliminant sa dépendance aux mots de passe. La mise en œuvre d’une solution MFA est réussie lorsqu’elle garantit de façon stricte l’identité des demandeurs d’accès sans affecter significativement leur productivité. Elle doit pouvoir supporter de nombreux facteurs d’authentification, qui pourront être choisis en fonction du contexte de la demande d’accès. Parmi ceux-ci, relevons : l’identification biométrique, les e-mails, les notifications en ‘push’, la voix, ainsi que les jetons de sécurité au standard FIDO et au standard OATH. Cette solution MFA devra être étendue à toutes les demandes d’accès. En ce compris , les demandes pour se connecter à des liens VPN ou à des environnements client léger (VDI et RDS), par exemple de type Citrix ou VMWare.

Appliquer des politiques d’accès plus informées et adaptatives

Au-delà d’une solution, et par exemple pour l’accès à des ressources ou des données critiques, l’authentification adaptive renforce encore la sécurité tout en optimisant l’expérience utilisateur. En s’appuyant sur un ensemble de facteurs contextuels, elle réduit encore les risques d’usurpation d’identité en confirmant avec certitude que le demandeur d’accès est bien ce qu’il prétend être. Ces facteurs peuvent inclure l’adresse IP, la géolocalisation, la signature du mobile ou l’heure de la journée. L’authentification adaptive peut aussi analyser en même temps l’utilisateur, son terminal et les ressources demandées. Et, par ce biais, évaluer le profil de risque de la demande et adapter le niveau d’authentification requis en conséquence.

Une fois ces mesures adoptées, les entreprises auront fait un pas important vers l’adoption complète d’un modèle zéro trust. Et se seront affranchies du modèle de sécurité traditionnel, selon lequel tous les accès distants aux ressources doivent nécessairement transiter par le firewall et le réseau d’entreprise.