Le modèle Zero Trust est fondé sur un concept simple, « ne faire confiance à personne et à rien ». Forrester note que Zero Trust « repose sur la conviction que la confiance est une vulnérabilité et que la sécurité doit être conçue avec la stratégie « Ne jamais faire confiance, toujours vérifier ».
Concrètement, les organisations qui adoptent le modèle Zero Trust mettent en place des politiques pour vérifier tout et tout le monde, qu’ils soient internes ou externes.
Bien que l’approche Zero Trust existe depuis plus d’une décennie – inventée pour la première fois en 2009 par l’analyste de Forrester John Kindervag – elle n’a été adoptée à grande échelle que très récemment.
Zero Trust a pris de l’ampleur et modernisé de nombreux aspects de la sécurité informatique. Par exemple, alors que les VPN traditionnels offrent certainement toujours des protections fondamentales lors de la connexion à distance d’un réseau domestique à un réseau d’entreprise, les réseaux Zero Trust ont fait passer la sécurité des télétravailleurs à un niveau supérieur, en s’adressant spécifiquement aux environnements en expansion et modernes, tels que l’infrastructure cloud, les appareils mobiles et le Internet des objets (IoT).
De même, le concept Zero Trust a transformé la sécurité des e-mails. Les anciennes solutions de sécurité de la messagerie se concentrent uniquement sur les types d’attaques traditionnels, tels que le spam ou le contenu suspect dans le corps d’un message, une approche qui ne résiste plus aux menaces avancées d’aujourd’hui. D’un autre côté, une approche Zero Trust de la sécurité des e-mails offre aux entreprises la couche de protection supplémentaire requise pour se défendre contre les menaces les plus complexes transmises par e-mail, telles que le phishing, l’ingénierie sociale et les attaques de compromission des e-mails professionnels (BEC).
Étant donné que le courrier électronique reste le vecteur d’attaque numéro un et que les menaces basées sur le courrier électronique augmentent en variété, en vitesse et en sophistication, il est essentiel que les organisations appliquent le modèle Zero Trust à leur stratégie de sécurité de la messagerie.
Sommaire
Faire de l’authentification le cœur de la sécurité des e-mails
Les menaces basées sur les e-mails ont évolué au-delà des simples messages de spam vers des attaques d’usurpation d’identité d’e-mails très sophistiquées, y compris les domaines similaires, l’usurpation de nom d’affichage, les domaines détenus non autorisés et l’ingénierie sociale.
Ces attaques utilisent des techniques d’usurpation d’identité pour tromper l’utilisateur final en lui faisant croire que l’expéditeur et le message sont légitimes, se faisant généralement passer pour un autre employé, un partenaire commercial ou une marque qu’il connaît et en qui il a confiance. L’objectif est d’amener les employés à transférer de l’argent, à télécharger des logiciels malveillants ou à divulguer des informations sensibles.
Adopter une approche Zero Trust pour les e-mails peut aider les organisations à se défendre contre les attaques d’usurpation d’identité par e-mail en mettant l’accent sur l’authentification – en veillant à ce que les e-mails entrant dans l’environnement de l’entreprise ou atterrissant dans les boîtes de réception des utilisateurs finaux proviennent d’individus, de marques et de domaines légitimes.
La façon la plus efficace de le faire est de mettre en œuvre des politiques de sécurité qui garantissent qu’aucun e-mail n’est fiable et livré à moins qu’il ne passe plusieurs protocoles d’authentification, notamment :
FPS – Les enregistrements Sender Policy Framework (SPF) permettent à un propriétaire de domaine de spécifier quels noms d’hôtes et/ou adresses IP sont autorisés à envoyer des e-mails au nom du domaine.
DKIM – DomainKeys Identified Mail (DKIM) permet aux propriétaires de domaine d’appliquer une signature numérique sécurisée aux e-mails.
DMARC – Les politiques DMARC (Domain-based Message Authentication, Reporting & Conformance) peuvent empêcher quiconque, à l’exception des expéditeurs spécifiquement autorisés, d’envoyer du courrier en utilisant le domaine d’une organisation. Il empêche les acteurs malveillants d’envoyer des e-mails de phishing et des tentatives d’usurpation d’identité de domaine qui semblent provenir de marques de confiance. En ajoutant DMARC à ses informations de domaine Internet, une entreprise peut découvrir qui usurpe l’identité de sa marque dans les messages électroniques, empêchant ces messages d’atteindre les utilisateurs.
Pour utiliser DMARC, les organisations doivent également disposer des protocoles SPF et DKIM. DMARC permet aux entreprises de définir des politiques qui s’appuient sur SPF et DKIM pour indiquer aux serveurs des destinataires d’e-mails quoi faire lorsqu’ils reçoivent de faux e-mails usurpant un domaine. Ces options consistent à signaler les e-mails mais à ne prendre aucune mesure, à les déplacer vers un dossier de courrier indésirable (quarantaine) ou à les rejeter complètement. Enfin, pour les organisations cherchant à déployer DMARC, de nombreuses ressources sont disponibles pour les aider à démarrer.
En plus d’authentifier les expéditeurs d’e-mails, il est également important d’appliquer les principes Zero Trust aux utilisateurs de messagerie. Eux aussi doivent être authentifiés, et l’authentification multifacteur (MFA) est l’un des moyens les plus courants et les plus efficaces d’y parvenir.
Zero Trust n’a aucune chance sans l’adhésion des employés
Bien qu’adopter une approche Zero Trust en matière de sécurité des e-mails puisse réduire considérablement le risque qu’une entreprise soit victime de menaces basées sur les e-mails, le modèle à lui seul n’est pas efficace à 100 %. Les employés doivent également faire leur part.
En fin de compte, le temps, les efforts et le budget investis dans le modèle Zero Trust seront sous-évalués si les employés n’adoptent pas non plus une mentalité Zero Trust pour tout ce qu’ils font au bureau et à la maison (qui aujourd’hui est souvent la même). C’est pourquoi une formation continue de sensibilisation à la cybersécurité est cruciale pour se défendre contre les menaces avancées d’aujourd’hui.
Par exemple, des recherches récentes de Mimecast ont détecté une multiplication par 3 des « mauvais clics » parmi les travailleurs à distance au début de la pandémie de COVID-19, lorsque le travail à distance (et une cyber-hygiène détendue) est devenu la norme. Pourtant, la même recherche a révélé que seule une organisation sur cinq offre une formation continue à la cybersensibilisation aux utilisateurs finaux.
Les organisations doivent prendre le temps de s’assurer que leurs employés sont formés à la détection et au signalement des e-mails suspects. Éduquez-les sur les signes révélateurs des attaques par usurpation d’identité par e-mail, tels que les URL et les pièces jointes suspectes, les fautes d’orthographe et les tons d’urgence déplacée. Et assurez-vous que, s’ils remettent en question la légitimité d’un e-mail, ils disposent d’un moyen direct et facile de le signaler.
Le concept de Zero Trust est peut-être simple, mais sa mise en œuvre peut s’avérer beaucoup plus difficile. En mettant l’accent sur l’authentification et la formation des employés à la cybersécurité, vous serez sur la bonne voie pour vous défendre contre les attaques d’usurpation d’identité de courrier électronique les plus sophistiquées, et renforcer ainsi la posture de sécurité globale de votre organisation.