Supposons que tout le monde sur Internet est là pour vous et a déjà

Le décret exécutif de cybersécurité du président Joe Biden, signé le 12 mai 2021, appelle le gouvernement fédéral à adopter une «architecture de confiance zéro».

Cela soulève quelques questions. Qu’est-ce que la sécurité sans confiance? Et, si la confiance est mauvaise pour la cybersécurité, pourquoi la plupart des organisations gouvernementales et du secteur privé le font-elles?

L’épidémie de ransomwares est une conséquence d’une trop grande confiance en ligne, un problème mondial croissant qui affecte les organisations, grandes et petites. Des brèches très médiatisées comme celle qu’a connue le pipeline Colonial ne sont que la pointe de l’iceberg.

Il y a eu au moins 2354 attaques de ransomwares contre les gouvernements locaux, les établissements de santé et les écoles aux États-Unis l’année dernière. Bien que les estimations varient, les pertes dues aux ransomwares semblent avoir triplé en 2020 pour atteindre plus de 300000 USD par incident. Et les attaques de ransomwares sont de plus en plus sophistiquées.

Un thème récurrent dans nombre de ces violations est la confiance mal placée – envers les fournisseurs, les employés, les logiciels et le matériel. En tant que spécialiste de la politique de cybersécurité avec un rapport récent sur ce sujet, je me suis intéressé aux questions de confiance. Je suis également le directeur exécutif de l’atelier Ostrom. Le programme de l’atelier sur la cybersécurité et la gouvernance de l’Internet se concentre sur de nombreux principes de la sécurité zéro confiance en recherchant des analogies – y compris la santé publique et le développement durable – pour renforcer la résilience des systèmes distribués.

Sécurité sans confiance

La confiance dans le contexte des réseaux informatiques se réfère à des systèmes qui permettent à des personnes ou à d’autres ordinateurs d’accéder avec peu ou pas de vérification de qui ils sont et s’ils sont autorisés à y accéder. Zero Trust est un modèle de sécurité qui tient pour acquis que les menaces sont omniprésentes à l’intérieur et à l’extérieur des réseaux. La confiance zéro repose plutôt sur une vérification continue via des informations provenant de plusieurs sources. Ce faisant, cette approche suppose l’inévitabilité d’une violation de données. Au lieu de se concentrer exclusivement sur la prévention des violations, la sécurité zéro confiance garantit plutôt que les dommages sont limités et que le système est résilient et peut rapidement se rétablir.

En utilisant l’analogie de la santé publique, une approche de confiance zéro en matière de cybersécurité suppose qu’une infection n’est qu’une toux – ou, dans ce cas, un clic – et se concentre sur la construction d’un système immunitaire capable de faire face à tout nouveau virus pouvant survenir. . En d’autres termes, au lieu de défendre un château, ce modèle suppose que les envahisseurs sont déjà à l’intérieur des murs.

Il n’est pas difficile de voir les avantages du modèle de confiance zéro. Si la société Colonial Pipeline l’avait adopté, par exemple, l’attaque du ransomware aurait probablement échoué et les gens n’auraient pas acheté d’essence de panique ces derniers jours. Et si la sécurité sans confiance était généralisée, l’épidémie de ransomware serait beaucoup moins mordante.

Quatre obstacles à la perte de confiance

Mais il existe au moins quatre obstacles principaux pour parvenir à une confiance zéro dans les systèmes informatiques gouvernementaux et privés.

Premièrement, les systèmes et infrastructures hérités sont souvent impossibles à mettre à niveau pour devenir zéro confiance. Atteindre une sécurité sans confiance nécessite une défense à plusieurs niveaux, qui implique la création de plusieurs niveaux de sécurité, un peu comme une pile de fromage suisse. Mais c’est un défi dans les systèmes qui n’ont pas été construits avec cet objectif à l’esprit, car cela nécessite une vérification indépendante à chaque couche.

Deuxièmement, même s’il est possible de mettre à niveau, cela vous coûtera cher. La refonte et le redéploiement des systèmes sont coûteux, chronophages et potentiellement perturbateurs, surtout s’ils sont fabriqués sur mesure. Le ministère américain de la Défense exploite à lui seul plus de 15 000 réseaux dans 4 000 installations réparties dans 88 pays.

Troisièmement, les technologies peer-to-peer, comme les ordinateurs exécutant Windows 10 sur un réseau local, vont à l’encontre de la confiance zéro car elles reposent principalement sur des mots de passe, et non sur une authentification multifactorielle en temps réel. Les mots de passe peuvent être piratés par des ordinateurs vérifiant rapidement de nombreux mots de passe possibles (attaques par force brute), tandis que l’authentification multifactorielle en temps réel nécessite des mots de passe et une ou plusieurs formes de vérification supplémentaires, généralement un code envoyé par e-mail ou par SMS. Google a récemment annoncé sa décision de rendre obligatoire l’authentification multifactorielle pour tous ses utilisateurs.

Quatrièmement, la migration des systèmes d’information d’une organisation des ordinateurs internes vers les services cloud peut stimuler la confiance zéro, mais seulement si elle est bien faite. Cela nécessite de créer de nouvelles applications dans le cloud plutôt que de simplement déplacer des applications existantes dans le cloud. Mais les organisations doivent savoir qu’elles doivent planifier une sécurité sans confiance lorsqu’elles migrent vers le cloud. La stratégie DoD Cloud 2018, par exemple, ne fait même pas référence à la «confiance zéro».

Entrez dans l’administration Biden

Le décret exécutif de l’administration Biden tente de favoriser une défense à plusieurs niveaux pour résoudre les problèmes de cybersécurité du pays. Le décret faisait suite à plusieurs recommandations de la Commission 2020 du cyberspace solarium, une commission formée par le Congrès pour développer une approche stratégique de la défense des États-Unis dans le cyberespace.

Entre autres choses, il s’appuie sur des cadres de confiance zéro proposés par l’Institut national des normes et de la technologie. Il fait également appel au Département de la sécurité intérieure pour prendre les devants dans la mise en œuvre de ces techniques de confiance zéro, y compris dans ses programmes basés sur le cloud.

Je crois que, associée à d’autres initiatives énoncées dans le décret – comme la création d’un Conseil de sécurité de la cybersécurité et l’imposition de nouvelles exigences en matière de sécurité de la chaîne d’approvisionnement logicielle pour les fournisseurs fédéraux – la sécurité zéro confiance amène les États-Unis dans la bonne direction.

Cependant, le décret ne s’applique qu’aux systèmes gouvernementaux. Cela n’aurait pas arrêté l’attaque du ransomware Colonial Pipeline, par exemple. Pour que le pays dans son ensemble soit sur des bases plus sûres, il faut aider le secteur privé à adopter ces pratiques de sécurité, ce qui exigera une action du Congrès.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.