Définir une surface de protection pour fortement réduire la surface d'attaque

Lorsqu’on parle de cybersécurité, tout le monde s’accorde sur le fait qu’il s’agit de se protéger des attaques. Toutefois, les entreprises ont tendance à n’accorder que peu d’intérêt à définir exactement ce qu’elles veulent protéger.

Année après année, nous avons travaillé sans relâche pour réduire la surface d’attaque des entreprises. Pourtant, il semble que celle-ci soit soumise au même phénomène d’expansion que l’univers. En effet, chaque nouvelle technologie apporte avec elle son lot de problématiques et de vulnérabilités. En tête de liste, l’Internet des objets (IoT), qui a considérablement élargi la surface d’attaque. Quant aux nouvelles vulnérabilités, comme celles qui sous-tendent les attaques contre les processeurs (Spectre et Meltdown), elles font de la quasi-totalité des systèmes de calcul actuels une cible potentielle.

Au lieu de se focaliser sur toute la surface d’attaque, l’approche « Zero Trust » permet de définir le plus petit périmètre possible (surface de protection) autour des éléments à protéger. Concrètement, un réseau « Zero trust » définit une surface de protection selon l’un des quatre critères suivants (mémorisables sous l’acronyme « DAAS ») :

• Les Données à protéger
• Les Applications qui consomment des données sensibles
• Les Actifs les plus sensibles
• Les Services (DNS, DHCP, Active Directory, etc.) essentiels au bon fonctionnement des opérations informatiques de routine

Hormis le fait qu’elle soit beaucoup plus petite que la surface d’attaque, une surface de protection est toujours – tôt ou tard – clairement identifiable. C'est là un avantage important dans la mesure où la plupart des entreprises peinent à définir les contours de leur surface d’attaque – ce qui explique leurs résultats peu concluants lors des tests d’intrusion. Par ailleurs, il existe mille et une façons de s’introduire dans le macro-périmètre d’une entreprise. C’est pourquoi les approches basées sur de larges périmètres de sécurité se sont révélées inefficaces. Dans les anciens modèles, les dispositifs de contrôle comme les pare-feu et autres technologies de prévention des intrusions étaient placés en périphérie du périmètre. En clair, le plus loin qui soit de la surface de protection.

Le modèle « Zero Trust » permet de déplacer ces dispositifs de contrôle au plus près de la surface de protection et ainsi de définir un micro-périmètre de sécurité. Notre technologie de nouvelle génération fait office de passerelle de segmentation. Concrètement, elle nous permet de scinder les réseaux selon les politiques de la couche applicative, pour ainsi assurer un contrôle granulaire du trafic entrant et sortant du micro-périmètre. En général, très peu d’utilisateurs et de ressources ont besoin d’accéder aux données ou éléments sensibles d’un environnement. Des politiques claires, délimitées et précises peuvent donc suffire à faire échec aux cyberattaquants.