"Année après année, les vulnérabilités en matière d'identité et d'authentification restent la plus grande source de ransomware et de failles de sécurité, il faut donc que quelque chose change fondamentalement pour combler cette faille et permettre aux organisations de répondre aux mandats de sécurité émis par la Maison Blanche, le NIST et la CISA", explique le Dr. Chase Cunningham, plus connu comme cocréateur du cadre Zero Trust Extended et comme Dr. Zero Trust. "L'approche Zero Trust Authentication élimine les facteurs d'authentification faibles et optimise les décisions d'accès des utilisateurs et des appareils avec des signaux de risque provenant d'une variété d'outils de cybersécurité installés, car Zero Trust est un sport d'équipe, et cela permet aux organisations de fermer efficacement la porte aux vecteurs d'attaque initiale les plus importants sur lesquels les adversaires s'appuient régulièrement."
Parmi les autres organisations soutenant l'authentification Zero Trust figurent les leaders de l'identité Ping Identity, les leaders de la cybersécurité Palo Alto Networks et CrowdStrike, les intégrateurs de sécurité World Wide Technology et Optiv, le distributeur de technologies Climb Channel Solutions, ainsi que des associations industrielles, notamment la Cloud Security Alliance et l'Alliance FIDO (Fast Identity Online).
Beyond Identity a publié un ensemble d'exigences pratiques que toute organisation peut utiliser pour mesurer ses pratiques actuelles en matière d'identité et adopter pour protéger sa main-d'œuvre et ses clients contre les attaques quotidiennes. Ces exigences sont les suivantes :
- Sans mot de passe -- Pas d'utilisation de mots de passe ou d'autres secrets partagés, car ils peuvent facilement être obtenus auprès des utilisateurs, capturés sur les réseaux ou piratés à partir de bases de données.
- Résistance à l'hameçonnage -- Aucune possibilité d'obtenir des codes, des liens magiques ou d'autres facteurs d'authentification par hameçonnage, par l'intermédiaire d'un adversaire ou par d'autres attaques.
- Capacité à valider les dispositifs de l'utilisateur -- Capacité à garantir que les dispositifs demandeurs sont liés à un utilisateur et autorisés à accéder aux actifs et aux applications d'information.
- Capacité d'évaluer la posture de sécurité des dispositifs -- Capacité de déterminer si les dispositifs sont conformes aux politiques de sécurité en vérifiant que les paramètres de sécurité appropriés sont activés et que les logiciels de sécurité fonctionnent activement.
- Capable d'analyser de nombreux types de signaux de risque -- Capable d'ingérer et d'analyser des données provenant de terminaux et d'outils de gestion de la sécurité et de l'informatique.
- Évaluation continue des risques -- Capacité à évaluer les risques tout au long d'une session plutôt que de s'appuyer sur une authentification unique.
- Intégration à l'infrastructure de sécurité -- Intégration à divers outils de l'infrastructure de sécurité afin d'améliorer la détection des risques, d'accélérer les réponses aux comportements suspects et d'améliorer les rapports d'audit et de conformité.
Source : Beyond Identity
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de cette initiative de Beyond Identity ?
Selon vous, l'authentification Zero Trust peut-elle combler les lacunes des méthodes traditionnelles d'authentification ?
Que pensez-vous des exigences pratiques préconisées par Beyond Identity ? Sont-elles réalisables et pertinentes ?
Voir aussi
L'approche Zero Trust est essentielle pour réduire les risques de cyberattaque réussie pour toutes les organisations, par Anthony Moillic, Directeur Ingénierie des solutions chez Netwrix
75 % des organisations reconnaissent l'importance du zero trust en matière de cybersécurité, mais seules 14 % d'entre elles ont pleinement mis cette approche en œuvre, selon One Identity
78 % des entreprises prévoient de renforcer les opérations de sécurité de confiance zéro en 2022, seules 36 % des organisations ont commencé à déployer cette technologie, selon Illumio
Cybersécurité : le « Zero Trust », l'authentification multifacteur, l'adoption du cloud et un plan d'intervention solide contre les ransomwares font partie des recommandations de Yubico pour 2022