Selon le 6e baromètre annuel publié par le CESIN avec OpinionWay début février 2021, une entreprise française sur cinq déclare avoir subi au moins une attaque par ransomware au cours de l’année 2020, avec pour conséquence directe un chiffrement et/ou un vol de données, assortis d’une demande de rançon pour délivrer une clé de déchiffrement et/ou un chantage à la divulgation de données.

Le phishing, s’est pour sa part élevé à 80 % des vecteurs d’intrusions dans les systèmes des victimes. 

Si la croissance du cloud, ces dix dernières années, a favorisé une augmentation des activités à distance et ouvert de nouvelles opportunités pour les cybercriminels, la généralisation du télétravail a depuis un an contribué à accélérer l’élargissement de la surface d’attaque, multipliant ainsi les risques et les vulnérabilités pour l’ensemble des utilisateurs.

Pour Jérôme Colleu, Ingénieur avant-vente chez CyberArk, il est aujourd’hui essentiel que les entreprises acceptent qu’elles soient – voire aient été – attaquées et s’assurent donc d’être protégées de manière adéquate pour prévenir cette menace qui remet l’identité au cœur de ses cibles :

« Sécuriser les identités est devenu un enjeu majeur à l’heure d’un monde ultra-connecté et du tout-cloud. 

En effet, chaque client, télétravailleur, partenaire externe, terminal et application, ont désormais potentiellement besoin d’accéder aux systèmes les plus sensibles de l’entreprise. Autant d’identités qui peuvent multiplier les risques de vulnérabilités.

Combiné à la pandémie mondiale, ce sont ainsi des milliers de points d’accès qui rendent le réseau encore plus poreux, et offrent ainsi une voie royale aux cybercriminels, très au fait de cette vulnérabilité.

C’est pourquoi, les équipes de sécurité doivent recentrer leur attention sur la sécurisation des identités individuelles et établir une période prédéfinie d'accès aux actifs critiques de l’organisation. En d’autres termes, elles doivent authentifier chaque identité, et ne lui octroyer que les droits et accès nécessaires.

Ainsi, dans le monde hybride et multicloud actuel, l’identité est devenue le nouveau périmètre de sécurité ; les remparts de sécurité réseau traditionnels ne suffisent plus, et toutes les identités constituent un vecteur d’attaque vers les actifs les plus précieux d’une organisation.

En effet, si de nombreuses méthodes utilisées par les cybercriminels permettent d’établir un point d'entrée initial, la compromission d’identité constitue l’une des approches les plus productives : 

ses vecteurs d’attaques les plus efficaces sont le phishing ou l'ingénierie sociale, qui poussent les employés à partager leurs identifiants de connexion avec une personne qu’ils pensent être de confiance.

Les menaces internes et les codes d’applications non sécurisés, au sein desquelles les informations d'identification sont codées en dur et accessibles de potentiels attaquants, constituent également des moyens efficaces d’usurper l’identité et de s’infiltrer dans les réseaux.

Les cybercriminels se déplacent alors entre les identités, les applications et les systèmes, afin d’y découvrir d’autres niveaux d'accès et d’augmenter leurs privilèges pour atteindre leur objectif final. 

Avec les hauts niveaux d'accès à privilèges obtenus, ils sont ensuite en mesure d’exfiltrer des informations sensibles comme des données financières ou de la propriété intellectuelle.

Dans ce contexte, l’approche Zero Trust semble la plus adaptée pour anticiper tout risque d’attaque. En effet, en supposant que toute identité - humaine ou machine - du réseau peut avoir été compromise, les équipes de sécurité peuvent et doivent se concentrer sur l'identification, l'isolement et le blocage des menaces.

Cela permettra de prévenir toute tentative de corruption des identités et des accès pouvant conduire les cybercriminels à obtenir des privilèges, et s’introduire ensuite dans les systèmes.

Alors que la sécurité traditionnelle, basée sur le périmètre, repose sur le principe de séparer les méchants des bons, et suppose que les systèmes et le trafic au sein du datacenter sont fiables, Zero Trust suppose que les individus malveillants se trouvent déjà dans le réseau et ont accès aux applications et systèmes.

Zero Trust n'est pas une technologie unique, mais une approche qui garantit que l'identité de chaque utilisateur est vérifiée, que ses appareils sont validés et que leur accès est intelligemment limité à ce dont ils ont besoin - et supprimé s’il n’est pas pertinent.

Face à l’agressivité et à la multiplication des attaques, il est plus important que jamais de faire son possible pour garder une longueur d’avance sur toute attaque potentielle, et partir du principe que chaque utilisateur constitue une menace pour mieux anticiper les risques. »

Jérôme Colleu, Ingénieur avant-vente chez CyberArk