Why zero trust is never done and is an ever-evolving process

La Confiance Zéro : Un Cycle Perpétuel de Sécurité

La confiance zéro, bien que concept fondamental pour la cybersécurité, n’est pas une destination mais un processus continu. Les organisations qui pensent avoir atteint une “transformation” peuvent se retrouver vulnérables face à de nouvelles menaces, comme une faille via une chaîne d’approvisionnement ou une API tierce, contournant les contrôles d’identité pourtant bien configurés.

Points Clés :

• Évolution Constante : Les menaces évoluent rapidement, souvent accélérées par l’IA. Les environnements technologiques se transforment constamment (cloud, microservices, IoT, mobile), créant de multiples points d’accès à protéger.
• Facteur Humain : Les changements de personnel, la gestion des accès et la dérive des politiques de sécurité, souvent créés par des exceptions légitimes mais accumulées, introduisent des vulnérabilités. La formation à la sécurité doit également être continue.
• Vigilance Permanente : Il est crucial de tester et vérifier en continu les configurations, les accès et les processus.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques, mais met en évidence des types de vulnérabilités exploitées :

• Vulnérabilités de la chaîne d’approvisionnement (Supply Chain Attacks).
• Faille dans les API tierces.
• Complexité accrue due à l’adoption du cloud, des microservices et de l’edge computing.
• Prolifération des appareils IoT et mobiles.
• Gestion des accès et des permissions obsolètes ou mal révoquées après le départ d’employés.
• Dérive des politiques de sécurité par l’accumulation d’exceptions.
• Formations à la sécurité obsolètes face aux nouvelles menaces.

Recommandations :

• Revue et Automatisation des Politiques : Mettre en place des revues et attestations automatisées des droits d’accès des utilisateurs, de la conformité des appareils et des contrôles de sécurité des applications.
• Tests Réguliers : Réaliser des exercices de type “red team” et des simulations de brèche pour identifier les faiblesses cachées.
• Mise à Jour des Systèmes de Surveillance : Affiner les règles de détection, mettre à jour les flux de renseignement sur les menaces et adapter les procédures de réponse aux incidents.
• Indicateurs de Performance Clés (KPI) : Suivre des métriques telles que le temps de détection, la vitesse de remédiation et les taux d’exception, plutôt que les seules activités d’implémentation.
• Analyse des Exceptions aux Politiques : Considérer les exceptions comme des opportunités d’amélioration et d’ajustement des politiques ou des contrôles techniques.
• Équilibre Expérience Utilisateur : S’assurer que les mesures de sécurité ne frustrent pas excessivement les utilisateurs, ce qui pourrait les pousser à contourner les contrôles.
• Évaluation des Schémas d’Accès : Examiner régulièrement les modèles d’accès des utilisateurs et les taux de conformité des appareils.
• Approche Marathon : Adopter une discipline d’évaluation, d’amélioration et d’adaptation continues.

Source