Depuis la popularisation mondiale du travail à distance ces dernières années, les équipes de sécurité informatique sont confrontées à des défis de plus en plus importants pour garantir un accès efficace et sécurisé aux actifs, aux ressources et aux données critiques des organisations.
Des attaques de phishing élaborées, par lesquelles les informations d’identification des utilisateurs sont exposées, ce qui permet des attaques par déplacement latéral ou l’installation de ransomware sur des infrastructures critiques. Les vulnérabilités de type « jour zéro » permettent aux acteurs malveillants de perturber les services auxquels ils ont accès.
Il ne s’agit là que de quelques exemples de menaces qui conduisent les entreprises à perdre de l’argent, leurs actifs les plus critiques, leur crédibilité et leur image sur le marché.
Dans le rapport Cost of a Data Breach 2023 publié par IBM, analysant les violations de données survenues entre mars 2022 et mars 2023, le coût total moyen d’une violation s’élevait à 4,45 millions de dollars. Par rapport au rapport de l’année précédente, ce total a augmenté de 2,3 % et de 15,3 % depuis 2020.
Dans cette optique, nous devons concevoir les systèmes de nos organisations de manière à ce qu’ils puissent résister à ces défis et à bien d’autres encore. L’emploi de spécialistes de la sécurité informatique permettra d’accroître la sécurité de la transformation numérique, mais nous ne pouvons pas compter uniquement sur la technologie – chaque organisation devrait définir et mettre en œuvre une stratégie anti-fraude, mais aussi former ses employés à naviguer dans l’écosystème numérique en toute sécurité.
Qu’est-ce que le modèle de confiance zéro ?
Pendant de nombreuses années, les organisations se sont appuyées sur une approche de la sécurité basée sur le périmètre, également connue sous le nom de « château et douves« , où l’on partait du principe que tous les acteurs à l’extérieur étaient malveillants et que tous les acteurs à l’intérieur étaient dignes de confiance.
Bien que très imparfaite, cette approche était tout ce dont nous avions besoin jusqu’à ce que nous soyons confrontés à la nécessité d’ouvrir nos ressources internes aux travailleurs à distance. La solution est venue de l’utilisation d’un VPN, qui crée une passerelle sécurisée entre l’internet et l’intranet.
Malheureusement, le progrès technologique s’est accompagné d’une menace en constante évolution sous la forme de cyber-attaques. Aujourd’hui, la technologie VPN et les restrictions d’accès physiques ne peuvent pas être les seules mesures de sécurité, et nous devons rechercher des solutions plus complexes.
Selon le rapport d’IBM, les deux vecteurs d’attaque initiale les plus courants sont le phishing et les informations d’identification volées ou compromises (respectivement 16 % et 15 %). En outre, les deux types de vecteurs d’attaque initiale les plus coûteux sont l’initié malveillant et le hameçonnage, avec une moyenne de 4,90 millions de dollars et de 4,76 millions de dollars.
Nombre de ces attaques pourraient être dues à une trop grande confiance accordée à des acteurs internes aux organisations et à l’absence de systèmes de sécurité adéquats pour prévenir les attaques externes.
C’est là que le modèle de sécurité « Zero Trust » (la confiance zéro) vient à la rescousse. À la base, le modèle de confiance zéro repose sur l’approche « ne jamais faire confiance, toujours vérifier », qui laisse de côté l’idée que tout utilisateur ou appareil devrait être fiable par défaut.
De nombreuses organisations ont établi leur infrastructure avec des modèles de confiance implicites plutôt qu’explicites afin de faciliter l’accès et les opérations pour les travailleurs et les charges de travail. Les attaquants abusent de cette confiance implicite dans l’infrastructure pour créer des logiciels malveillants, puis se déplacent latéralement pour atteindre leurs objectifs« ,
a déclaré John Watts, vice-président analyste chez Gartner.
La confiance zéro est un changement de mentalité qui permet de faire face à ces menaces en exigeant une confiance continuellement évaluée, explicitement calculée et adaptative entre les utilisateurs, les appareils et les ressources. »
[Note de presse de Gartner : source]
Un autre rapport, présenté par Okta, montre qu’un nombre d’organisations ont déjà commencé à travailler sur la définition et l’introduction d’une initiative de confiance zéro. Il est intéressant de noter que l’intérêt des entreprises pour la confiance zéro augmente considérablement. En 2021, 24% des organisations déclarées travaillaient activement à la définition d’une initiative Zero Trust (la confiance zéro), alors que deux ans plus tard, cette statistique atteignait 61% – avec 35% prévoyant de commencer à travailler sur l’initiative dans les 18 mois à venir.
Source : Rapport Octa
Okta indique également que la majorité des entreprises investissent activement dans leurs stratégies de confiance zéro. Visiblement, 80 % des organisations signalées ont augmenté leur budget, 18 % ne l’ont pas modifié et très peu l’ont diminué.
Source : Rapport Octa
La confiance zéro à l’œuvre dans Azure
Microsoft Entra
La gestion des identités est à la base de l’architecture « Zero Trust » ( la confiance zéro ). Dans Azure, elle est assurée par Microsoft Entra ID (anciennement Azure Active Directory) et par le contrôle d’accès basé sur les rôles (RBAC) intégré dans tous les services Azure.
Microsoft Entra ID permet de contrôler l’accès aux ressources de l’organisation – dans tous les environnements de cloud publics, privés et hybrides, à de nombreux niveaux de granularité dans l’attribution des autorisations :
- Par le biais d’autorisations singulières – comme la lecture de fichiers dans des partages de fichiers,
- Les définitions de rôles – qui définissent des ensembles d’autorisations, par exemple Cloud Developer (développeur de cloud)
- Et les affectations de groupe, c’est-à-dire l’attribution des mêmes règles d’autorisation à plusieurs personnes, travaillant par exemple au sein de la même équipe.
Pour garantir le principe du moindre privilège de Zero Trust ( la confiance zéro ), la fonction de révision des accès permet une gestion efficace de l’appartenance à un groupe, de l’accès aux applications d’entreprise et de l’attribution des rôles. Le processus recueille les commentaires des utilisateurs, des superviseurs et les suggestions de Microsoft Entra ID pour réviser et valider les autorisations définies.
Grâce à ces données, les spécialistes de la sécurité informatique peuvent mettre à jour les règles d’accès des utilisateurs en ajoutant ou en supprimant des autorisations, ce qui permet d’obtenir un accès juste à temps et juste assez (JIT et JEA).
La prochaine caractéristique fondamentale de Microsoft Entra est le module d’accès conditionnel – un moteur centralisé pour recueillir des signaux, prendre des décisions et appliquer des politiques définies dans l’ensemble de l’organisation.
L’accès conditionnel, associé à Microsoft Entra ID, permet d’appliquer le principe de « vérification permanente » de la confiance zéro. En définissant des politiques dans les deux services, l’équipe de sécurité informatique peut sécuriser les ressources de l’organisation sans entraver la productivité des utilisateurs, quel que soit le lieu ou le moment où ils travaillent.
En outre, Microsoft Entra ID peut mettre en œuvre des mesures de sécurité pour l’identité et l’authentification des utilisateurs, par le biais de l’authentification unique ou de l’authentification multifactorielle obligatoire.
Permettre l’utilisation de ZTNA avec les technologies Azure
Grâce au moteur d’identité et de vérification de Microsoft Entra, les principes de confiance zéro peuvent être introduits dans les ressources d’une organisation – par le biais de l’accès au réseau de confiance zéro (ZTNA).
Ce concept introduit les principes fondamentaux de la confiance zéro dans l’accès au réseau. En utilisant un courtier d’identité, dans notre cas Microsoft Entra, chaque utilisateur doit être vérifié avant d’accéder à toute ressource ou application dans le réseau d’une organisation. En outre, la communication à l’intérieur du réseau doit être surveillée tout en respectant le principe « ne jamais faire confiance, toujours vérifier ».
Stockage sur le réseau
Azure Storage propose diverses méthodes de stockage de vos données, mais elles ont toutes un point commun : l’idée d’être sécurisées par défaut. Par défaut, les données stockées dans les services Azure Storage ne sont pas accessibles au public sur Internet.
L’accès peut être attribué par le biais de plusieurs mécanismes sécurisés :
- Jetons de signature pour l‘accès partagé – ils permettent d’autoriser l’accès sans les informations d’identification de l’utilisateur, avec seulement un ensemble spécifique d’autorisations et dans un délai précis.
- Jeton JWT OAuth2 – Les jetons JWT peuvent être générés par Microsoft Entra. Ces jetons transmettent les permissions de l’utilisateur, ce qui permet d’autoriser les services de stockage.
- Accès par un point d’extrémité privé – Il est possible d’autoriser l’accès entièrement par un point d’extrémité intégré dans un réseau virtuel privé. Les données de stockage ne sont accessibles qu’aux clients connectés au réseau virtuel désigné.
Les deux dernières méthodes d’accès, en particulier, permettent d’appliquer le modèle de confiance zéro. Ainsi, avec des autorisations correctement définies et des services de stockage Azure disponibles au sein du réseau de l’organisation, les utilisateurs disposent d’un accès large et sécurisé en fonction de leurs besoins.
Machines virtuelles sur le réseau
Pour tirer pleinement parti du cloud, il est nécessaire de planifier l’utilisation des machines virtuelles au sein du réseau à confiance zéro. Cette stratégie doit comprendre des lignes directrices sur la manière dont les ressources doivent être créées, l’intégration de la surveillance et la base de réseau pour la communication sur le réseau.
Pour certaines organisations, la solution pourrait consister à définir un ensemble de processus stricts pour l’approvisionnement de ces ressources ou à créer un outil permettant de faire abstraction du fournisseur de services cloud et d’apporter les normes sous la forme d’une base de référence immuable.
Le premier élément d’une telle stratégie devrait être la segmentation des ressources dans le cloud. En tirant parti de l’approche multicouche des autorisations utilisateur, le regroupement logique des ressources peut être réalisé avec des groupes de ressources, des abonnements et des groupes de gestion au sein d’Azure.
Pour garantir la sécurité des machines virtuelles initialisées au sein du réseau, il est également essentiel de définir des règles pour le système d’exploitation et les applications qui s’y exécutent. Ces règles peuvent être appliquées grâce à des fonctions telles que Secure Boot, vTPM et Virtual Machine Extensions.
Ensuite, il convient de définir la stratégie de sécurité pour l’accès aux machines virtuelles. Il peut être tentant d’activer une adresse IP publique sur chaque VM et de les protéger par des identifiants de compte utilisateur, mais cela ouvre également la porte à des acteurs malveillants qui essaieront de forcer brutalement l’accès.
D’autres solutions consistent à utiliser le service Azure Bastion, qui permet d’accéder aux machines virtuelles par le biais d’un navigateur web, ou à utiliser le MFA et l’accès conditionnel pour se connecter aux machines virtuelles connectées à Microsoft Entra ID.
Azure Firewall Premium
Après avoir défini la politique de gestion des identités, ainsi que la sécurité du stockage et de l’informatique, Zero Trust Network Access nécessite une sécurité étendue du trafic réseau. Pour ce faire, Azure Firewall Premium offre un ensemble complet de fonctionnalités permettant de surveiller, de détecter et de prévenir les menaces potentielles.
Azure Firewall peut surveiller le trafic entrant, sortant et interne au sein du réseau de l’organisation. Azure Cloud intègre son flux de renseignements sur les menaces, constamment mis à jour avec des données sur les sources d’activités malveillantes. L’activation de cette fonction en mode alerte et refus est la meilleure façon d’appliquer le principe de la confiance zéro (« always verify »).
L’étape suivante consiste à activer la fonction d’inspection TLS, qui surveille le trafic réseau crypté à la recherche d’activités illégales et malveillantes potentielles. Elle génère un certificat SSL à la volée en utilisant le certificat de l’autorité de certification fourni par le client, agissant comme un proxy dans la connexion entre le client et le réseau privé derrière le pare-feu.
Le système de détection et de prévention des intrusions (IDPS) est une autre fonction complémentaire de l’inspection TLS. Il se concentre sur le trafic non crypté, mais lorsque l’inspection TLS est activée, il fonctionne également pour les activités cryptées du réseau.
IDPS permet d’alerter automatiquement et de refuser l’accès à toute communication qui semble suspecte. Il met l’accent sur l’identification des logiciels malveillants, des serveurs de commande et de contrôle de réseaux de zombies, des kits d’exploitation et, dans la nature, des activités malveillantes non détectées par les méthodes de prévention traditionnelles. Avec plus de 67 000 règles et plus de 20 à 40 nouvelles versions par jour, ce système de détection des logiciels malveillants a un faible taux de faux positifs.
Azure Firewall propose également des fonctionnalités telles que des règles de routage étendues, le filtrage d’URL, des exceptions aux règles, l’intégration de Microsoft Defender, Azure DDoS Protection et Forced Tunneling pour sécuriser davantage l’ensemble du réseau.
Microsoft Defender pour le cloud
Microsoft Azure est un vaste paysage de technologies différentes qui nécessitent une spécialisation pour une utilisation efficace. Pour remédier à ce problème et faciliter la courbe d’apprentissage, Microsoft a introduit Defender for Cloud – un service de diagnostic qui fournit des alertes et des recommandations pour améliorer la sécurité de vos ressources en cloud.
Microsoft Defender est doté de nombreuses fonctionnalités avancées qui permettent aux équipes de sécurité informatique de mener à bien leurs opérations grâce à des tableaux de bord qui donnent un aperçu de la situation :
- Score de sécurité – basé sur les recommandations de Microsoft en matière de bonnes pratiques.
- Conformité réglementaire – montre la conformité au Security Benchmark grâce à une évaluation automatisée.
- État des stocks – évaluation de l’état de santé et alertes pour toutes les ressources
Une autre fonction essentielle est le module de gestion de la surface d’attaque externe, qui découvre et cartographie en permanence votre surface d’attaque numérique. Il présente la vue extérieure de votre infrastructure en ligne, ce qui vous permet d’identifier les vulnérabilités potentielles.
Microsoft Defender peut également s’intégrer aux services de stockage avec Microsoft Defender for Storage. Il aide à prévenir les impacts significatifs sur vos données et votre charge de travail – téléchargements de fichiers malveillants, exfiltration de données sensibles et corruption de données. Il s’agit d’une couche de protection supplémentaire, renforcée par les technologies Microsoft Threat Intelligence, Microsoft Defender Antimalware et Sensitive Data Discovery.
Azure Sentinel
Microsoft Defender n’est pas le seul service de signalement et de réparation disponible dans l’écosystème Azure. Azure Sentinel est profondément intégré dans les autres services Azure, fournissant des analyses de sécurité intelligentes et des renseignements sur les menaces dans toute l’entreprise.
En utilisant Azure Log Analytics Workspace, ce service peut collecter et analyser des données à partir de n’importe quel service Azure et de n’importe quelle application qui peut intégrer l’API Log Analytics pour la journalisation et les mesures.
Avec Azure Sentinel, vous pouvez activer plusieurs connecteurs de données pour les services Microsoft et les options tierces. Il est également possible d’utiliser un format d’événement commun, Syslog ou REST-API pour connecter vos sources de données à Microsoft Sentinel. La sécurité informatique est améliorée grâce à une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces.
Intelligence artificielle et sécurité informatique
Comme le montrent les dernières tendances, l‘IA semble être un assistant parfait. ChatGPT et d’autres outils similaires prouvent ce que l’IA peut faire pour aider les professionnels dans leurs tâches quotidiennes. Nous pouvons également constater des améliorations techniques similaires, en particulier dans le domaine de la sécurité du cloud.
Comme c’est souvent le cas, les professionnels de la sécurité doivent effectuer des tâches banales, telles que l’examen et l’ajustement des politiques de sécurité. Dans un environnement d’entreprise en constante évolution, les informaticiens doivent réagir à l’arrivée de nouvelles personnes, au changement de service des employés et à l’introduction de nouvelles applications, qu’elles soient destinées à un usage interne ou externe. Tous ces événements obligent les ingénieurs en sécurité à agir pour maintenir toutes les autorisations d’accès à jour et garantir la sécurité de tous les processus et services.
Pour ce faire, l’équipe de sécurité doit comprendre le rôle de chaque utilisateur au sein de l’organisation, ce qui est pratiquement impossible à grande échelle. C’est là que l’IA peut briller et supprimer des tâches fastidieuses en surveillant constamment la façon dont les utilisateurs interagissent avec les différents systèmes.
Lorsqu’elles sont recueillies, l’IA peut choisir les données dont le niveau de confiance est élevé, et elle devrait lancer un examen de l’attribution des autorisations. Les ingénieurs en sécurité pourront se concentrer sur l’ensemble des autorisations signalées et ne pas analyser le rôle de chaque utilisateur dans l’entreprise.
Azure a déjà introduit une fonctionnalité similaire dans son système d’examen des accès, où des modèles d’apprentissage automatique sophistiqués améliorent les recommandations. En suggérant l’affiliation à des groupes et des périodes d’inactivité, l’apprentissage automatique aide à décider si l’utilisateur devrait posséder certaines autorisations.
L’IA peut non seulement contribuer à garantir le principe du moindre privilège promu par Zero Trust, mais elle peut également être utile dans d’autres domaines de la sécurité informatique. Grâce à l’utilisation de divers modèles d’IA, il est possible d’effectuer des tâches qui semblent impossibles pour les humains.
Les modèles d’IA pour la reconnaissance des formes peuvent détecter des formes invisibles à l’œil humain. L’utilisation d’outils de surveillance assistés par l’IA, la détection d’anomalies et l’émission d’alertes peuvent mettre en lumière d’éventuelles vulnérabilités cachées dans le système.
Aussi utile que soit la détection, l’IA peut encore faire plus. Il est possible de fournir à l’IA des outils pour remédier aux problèmes qu’elle détecte et de le faire avant ou juste après leur exploitation en temps quasi réel. Cela permet d’atténuer efficacement la plupart, voire la totalité, des menaces provenant de l’extérieur et de l’intérieur de l’infrastructure informatique de l’organisation.
Avec Azure Sentinel, il est possible de définir des réponses automatisées à l’aide de règles d’automatisation et de manuels d’automatisation. Ainsi, une réponse définie peut être exécutée automatiquement lorsque Sentinel détecte une alerte sur la base d’une définition détaillée des déclencheurs et des conditions.
Quelles menaces l’IA fait-elle peser sur la sécurité du cloud ?
Il existe deux types de menaces de sécurité liées à l’IA. Les attaques peuvent viser les modèles et les services d’IA, ou l’IA peut contribuer aux attaques. Les deux scénarios doivent être planifiés et des solutions de sécurité adéquates doivent être envisagées pour éviter les problèmes potentiels.
En raison de la nature complexe de l’intelligence artificielle, nous devons apprendre beaucoup de choses sur son fonctionnement et, parfois, les modèles que nous formons peuvent avoir des performances inattendues. De tels problèmes se seraient produits avec certains outils d’intelligence artificielle populaires ; par exemple, dans les premières versions de ChatGPT, même s’il était limité à obéir à des règles spécifiques, il était capable de contourner ces règles à l’aide d’un exploit appelé « prompt injection » (injection d’invite). Les utilisateurs pouvaient converser avec le chatbot d’une manière spécifique, ce qui leur permettait d’adopter des comportements auparavant limités.
Qui plus est, les services d’IA en direct sont vulnérables non seulement à certains types de cyberattaques nouveaux et inattendus, mais aussi à ceux qui n’ont pas encore été publiés. Selon le type de modèle d’IA, les ensembles de données d’apprentissage peuvent provenir de données accessibles au public.
Ces données peuvent être altérées à l’aide de techniques appelées « data poisoning » (empoisonnement des données). Bien qu’il soit difficile de cibler un service d’IA spécifique avec cette technique, elle peut effectivement nuire au processus d’apprentissage des nouveaux modèles d’IA. D’autre part, les mêmes modifications peuvent être utilisées comme protection de la propriété intellectuelle contre l’utilisation illégale d’images numériques publiées sur l’internet.
Une autre cyberattaque similaire visant l’IA est une attaque contradictoire ; elle découle de l’empoisonnement des données en modifiant les données d’entrée. Toutefois, l’objectif n’est pas de faire en sorte que l’IA n’atteigne pas son but, mais de manipuler les résultats d’une manière qui sera plus difficile à détecter. Elle vise à perturber le processus de prise de décision du modèle d’IA et à provoquer des erreurs de classification ou simplement des résultats erronés.
L’utilisation de l’IA pour faciliter les techniques de cyberattaque plus classiques est une approche totalement différente. Avec certains modèles d’IA avancés, il est possible d’analyser les résultats des services orientés vers l’internet et d’en déduire les détails techniques de la mise en œuvre du service. Grâce à ces détails, on pourrait demander à un chatbot s’il existe des exploits connus pour ces technologies.
L’intelligence artificielle pourrait également être utilisée comme opérateur de serveur de contrôle et de commande et réaliser des opérations de botnet sans surveillance, telles que des attaques DDoS.
Mot de la fin
Avec toutes les menaces qui guettent les entreprises sur l’internet moderne, la mise sur le marché de vos solutions informatiques peut sembler difficile. Nous devons cependant garder à l’esprit que non seulement les pirates informatiques travaillent dur pour développer de nouvelles stratégies d’attaque, mais aussi que les spécialistes de la sécurité s’efforcent de fournir des moyens de plus en plus performants pour éloigner les menaces.
Souvent, il peut être nécessaire d’intégrer l’équipe de sécurité de l’entreprise, ce qui est toujours bénéfique à long terme. Mais il faut aussi savoir que d’innombrables fournisseurs de services de sécurité, comme Azure, offrent un large éventail de mesures de sécurité qu’une organisation doit mettre en œuvre.