Zero Trust : tout passe par une méthode d’authentification forte
Depuis un certain moment, le concept du Zero Trust et en pleine application dans toute l’Europe.
Ce n’est plus une théorie ou une simple idée exprimée par un professionnel. Il est devenu presque une obligation pour toutes les organisations qui cherchent jusqu’à présent à améliorer leur sécurité informatique. Avec la pandémie à coronavirus, le besoin de se renforcer sur le plan informatique sécuritaire s’est d’une certaine manière imposée à l’ensemble des entreprises privées et collectivités publiques.
Cet article va aussi vous intéresser : L’authentification à double facteurs sous-évaluée dans 3 pays européens
Le Zero Trust exprime une situation ou peu importe la qualité des outils que vous utilisez en matière informatique, tout type de confiance doit être exclue lorsqu’on évoque la question de sécurité informatique. Pour déployer cette mesure dit de zéro confiance, il est nécessaire de commencer par les bases. En particulier l’authentification. L’authentification fait partie généralement des premiers points essentiels lorsqu’on veut déployer une bonne stratégie de cybersécurité. Avec le télétravail qui s’est répandue à cause de la pandémie à coronavirus, le besoin de pouvoir accéder à un système informatique à distance s’est accru. Créant de la sorte, énormément de vecteurs de cyberattaques.
À ce propos, Laurent Nezot, Directeur des ventes chez Yubico, une société spécialisée dans la fourniture de solutions et des services informatiques déclare : « En Europe, le modèle Zero Trust est passé du concept à la réalité pour de nombreuses entreprises au cours de l’année 2020, puis s’est accéléré en 2021. Le COVID-19 a précipité la disparition des modèles de sécurité traditionnels dans le but de prévenir les compromissions de données et pour atténuer le risque d’attaques de la supply chain. Dans ce contexte, alors que les organisations s’efforcent de protéger les données et les infrastructures à l’ère du cloud et du travail à distance, l’authentification forte devrait être au cœur de ces modèles Zero Trust. ». Il ajoute par ailleurs : « Le modèle Zero Trust repose sur le principe selon lequel les organisations doivent fréquemment rétablir la confiance avec les utilisateurs et les appareils qui tentent d’accéder à l’information. C’est une rupture majeure avec le modèle de protection périmétrique dans lequel il est réputé difficile d’accéder de l’extérieur, mais dont tous les membres à l’intérieur sont implicitement dignes de confiance. Cette approche traditionnelle de la sécurité des réseaux informatiques contribue à la fréquence et à l’impact des événements de sécurité ; en fait, ce modèle est inefficace dans la plupart des cas d’utilisation. ».
Alors, légitimement on peut s’interroger de savoir dans quelle mesure l’authentification forte se présente comme nécessaire pour une meilleure application du Zero Trust.
En observant l’évolution des incidents de sécurité, on a pu aisément constaté que la majorité des problèmes dans une grande partie des protocoles d’authentification. Vu que les accès à distance se sont multipliées, il faut être sûr à 100 % de l’identité de la personne qui cherche par exemple à se connecter à un système informatique. Au-delà de tout, les outils informatiques utilisés pour ses accès doivent répondre à un minimum d’exigence sécuritaire. En d’autres termes, si on veut appliquer une bonne procédure de type zéro confiance, il a plus que nécessaire que les utilisateurs fassent preuve d’authentification de leur identité à chaque fois qu’ils décident de se connecter et ce de manière très fréquente. Pourquoi une telle exigence au détriment même de l’ergonomie ? Tout simplement à cause de la faiblesse que représente le mot de passe en terme d’authentification. En d’autres termes le mot de passe ne suffit plus. Car les attaques informatiques deviennent de plus en plus sophistiquées.
« Avec le modèle Zero Trust, il est impératif d’établir une preuve d’identité solide. Chaque utilisateur tentant d’accéder aux données doit être authentifié, et chaque appareil doit répondre à des exigences minimales de sécurité et de fiabilité, même s’il s’agit d’éléments connus. Une méthode efficace implique que les utilisateurs se ré-authentifient plus fréquemment. De plus, il faut d’abord considérer la façon dont ces derniers prouvent leur identité et quel niveau de confiance peut être donné à cette preuve. Une chose est sûre, les mots de passe seuls ne sont pas assez forts face aux techniques que les attaquants emploient actuellement. Ils ne sont pas non plus particulièrement pratiques lorsqu’il faut intégrer les exigences de stockage, de longueur, de complexité et de renouvellement. », Laurent Nezot.
Accédez maintenant à un nombre illimité de mot de passe :
