IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Cybersécurité en 2022 : le « Zero Trust » doit être une priorité, d'après les recommandatiions de Yubico


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 437
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 437
    Points : 47 721
    Points
    47 721
    Par défaut Cybersécurité en 2022 : le « Zero Trust » doit être une priorité, d'après les recommandatiions de Yubico
    Cybersécurité : le « Zero Trust », l'authentification multifacteur (MFA), l'adoption du cloud, et un plan d'intervention solide contre les ransomwares font partie des recommandations de Yubico pour 2022

    L'année 2021 a été marquée par une augmentation du nombre de failles de sécurité très médiatisées, dont beaucoup se sont soldées par des attaques de ransomware dévastatrices. Les cybercriminels ont ainsi frappé des cibles traditionnellement plus faciles à atteindre - comme les hôpitaux, les écoles et les collectivités locales - tout en continuant à s’intéresser à la supply chain. Bien que la cause profonde de ces cyberattaques varie, toutes ont tiré parti d’une authentification à facteur unique, d’une authentification multifacteurs faible (OTP, par exemple) ou de secrets exposés (clés de signature SAML, par exemple).

    En 2022, Chad Thunberg, RSSI de Yubico, prévoit sur une poursuite de l’extorsion des victimes via des ransomwares, en raison du succès rencontré par ces campagnes en 2021. En outre, une attention particulière devrait être accordée aux réglementations, afin d’accélérer la concrétisation des pratiques et des principes de sécurité de l’information dans les secteurs vulnérables.

    1. Placer l’architecture « Zero Trust » comme une priorité

    L’incident de SolarWinds et la récente vulnérabilité de Log4j ont mis en évidence que les systèmes internes critiques de certaines entreprises offrent un accès permissif à internet et à des systèmes non fiables, alors que l’application du principe du moindre privilège et la segmentation sont préconisés depuis des décennies.

    Les modèles de sécurité de type « Zero Trust » font progresser le débat, mais en modifiant fondamentalement l’approche de la sécurité de l’information. Au lieu de supposer que l’environnement interne est digne de confiance, ce modèle part en effet du principe qu’il est hostile. La confiance est alors instaurée au moyen d’une inspection et d’une authentification forte, mais elle reste éphémère dans la mesure où elle doit être rétablie à intervalles réguliers. En théorie, cette approche devrait limiter les violations réussies en réduisant la fenêtre d’opportunité et en renforçant l’isolement.

    2. Adopter une authentification multifacteur (MFA) résistant au phishing

    Le phishing, le credential stuffing et d’autres menaces relatives à l’authentification par mot de passe, continueront à faire peser un risque important sur les entreprises. Les cybercriminels ont démontré qu’ils étaient capables d’accéder aux réseaux internes au sein desquels l’authentification à facteur unique et la MFA faible sont encore prédominantes. Grâce aux identifiants volés, les hackers ont la possibilité de se maintenir dans l’environnement sans avoir à exploiter les vulnérabilités ou à effectuer d’autres actions qui augmenteraient la probabilité de détection.

    3. Surmonter la peur du cloud

    Des entreprises et des secteurs continuent de percevoir le cloud comme une menace, en raison essentiellement d’un sentiment de maintien du contrôle en termes de sécurité. Or, le cloud offre un ensemble solide de fonctions et de protocoles de sécurité. Lorsque ceux-ci sont utilisés de manière adéquate, la plupart des menaces auxquelles les organisations sont confrontées aujourd’hui, comme les ransomwares et la compromission des courriers électroniques professionnels, sont largement atténuées. La combinaison de l’identité fédérée, de l’authentification multifacteurs forte et du stockage de fichiers dans le cloud, représente donc un atout majeur pour les entreprises de toutes tailles. L’authentification et le chiffrement mutuels par TLS peuvent généralement être activés en cochant une simple case, les complexités des ICP (infrastructure à clés publiques) étant gérées et automatisées en arrière-plan. Une surveillance et un contrôle supplémentaires sont également possibles pour les entreprises qui sont intéressées par la gestion de leurs propres secrets et qui sont suffisamment matures pour le faire.

    Il n’est pas nécessaire d’adopter le cloud pour bénéficier des avantages de l’identité fédérée et de l’authentification multifacteurs forte. La plupart des offres modernes de fournisseurs d’identité prennent en charge les protocoles FIDO, SAML et OpenID Connect pour faciliter l’intégration des applications sur site et hors site.

    4. Se préparer aux ransomwares

    Les organisations dotées de modèles de périmètre traditionnels et d’une infrastructure classique reposant sur des technologies telles que l’Active Directory doivent établir un plan d’intervention solide pour faire face aux attaques par ransomware. Le plan doit aborder des sujets qui vont au-delà de la détection et de la récupération, comme la couverture d’assurance, la consultation externe et les mesures à prendre pour payer la rançon si la récupération échoue. Les polices d’assurance peuvent couvrir le coût de l’embauche d’un tiers, mais uniquement lorsqu’un fournisseur agréé est utilisé. La couverture peut également être soumise à des limites. Récemment, il a été constaté des modifications de la couverture selon que l’attaquant est un État-nation ou non. En outre, une fois le plan mis en place, il faut le tester, notamment les sauvegardes éventuelles.

    Nom : yubico-logo-vector.png
Affichages : 960
Taille : 8,6 Ko

    5. Sécuriser la supply chain

    En 2021, l’incident de SolarWinds et la vulnérabilité de log4j nous ont non seulement fait prendre conscience de la fragilité des supply chains, mais ont également mis en évidence le fait que les systèmes critiques et hautement sensibles ont toujours la possibilité de se connecter arbitrairement à des systèmes non fiables sur Internet. Toutes les organisations doivent donc prendre conscience qu’il est de leur responsabilité mutuelle de garantir la sécurité de la conception, du développement et de l’exploitation des technologies. Le processus d’assurance des fournisseurs, parsemé de questionnaires non standardisés, ne peut à lui seul sécuriser la supply chain.

    Les entreprises intervenant dans une supply chain devront instaurer une confiance mutuelle, établie par la mise en œuvre de bonnes pratiques en matière de cybersécurité tout au long de leur processus de développement, et se montrer capables d’en faire la démonstration. Dans l’idéal, l’ensemble du processus de développement, de la validation du code à sa publication, devrait être sécurisé par une authentification forte, des contrôles d’intégrité solides et des modèles d’autorisation à moindre privilège. Les entreprises qui mettent en œuvre cette technologie doivent suivre les pratiques reconnues par l’industrie (par exemple, le « Zero Trust ») pour assurer la sécurisation de la technologie par la segmentation, l’application de correctifs et des modèles de contrôle d’accès résilients.

    6. Prioriser la protection de la vie privée des utilisateurs

    Selon de récentes prévisions de Gartner, d’ici fin 2023, les législations modernes sur la protection de la vie privée couvriront les informations personnelles de 75 % de la population mondiale. À mesure que des législations similaires au RGPD continueront d’être mises en œuvre dans le monde pour protéger la sécurité et à la vie privée de millions de citoyens, le nouveau problème auquel les organisations seront confrontées sera la gestion de multiples législations sur la protection des données dans diverses juridictions. Les entreprises doivent protéger les informations réglementées tout au long de leur cycle de vie et pas seulement au point d’entrée. Bien que le RGPD n’impose pas d’exigences en matière d’authentification, nous nous attendons à voir apparaître de plus en plus d’exigences prescriptives à mesure que d’autres juridictions élaboreront leurs propres ensembles d’exigences.

    À propos de Yubico

    Yubico établit de nouvelles normes mondiales pour un accès simple et sécurisé aux ordinateurs, serveurs et comptes Internet. Invention principale de la société, la clé YubiKey offre une protection hardware puissante, d’un simple toucher, sur un nombre illimité de systèmes informatiques et de services en ligne. Le module de sécurité matérielle de Yubico, YubiHSM, protège les données sensibles contenues dans les serveurs.

    Source : Yubico

    Et vous ?

    Que pensez-vous de ces recommandations ?
    Lesquelles sont considérées comme une priorité au sein de votre entreprise pour l'année 2022 ?

    Voir aussi :

    Tendances cybersécurité : 2022 devrait voir un renforcement des législations et des normes de sécurité, mais aussi une inquiétante montée en puissance des ransomwares et des risques technologiques

    Décryptage des 5 tendances en cybersécurité pour 2022, par Cassie Leroux, Cheffe Produit Marketing chez Mailinblack

    HID Global : les pénuries de la chaîne d'approvisionnement, la durabilité et l'évolution de la main-d'œuvre, et les demandes des clients impacteront le marché de la sécurité et de l'identité en 2022

    85 % des décideurs informatiques en Amérique du Nord vont augmenter leur budget de cybersécurité de 50 %, l'investissement dans la cyberassurance est également une tendance croissante
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 297
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 297
    Points : 5 513
    Points
    5 513
    Par défaut
    C'est quand même dingue de lire ces deux assertions ensemble de la part d'une compagnie qui nous parle de sécurité:

    Citation Envoyé par Sandra Coret Voir le message
    [...]comme les hôpitaux, les écoles et les collectivités locales[...]
    Citation Envoyé par Sandra Coret Voir le message
    [...]3. Surmonter la peur du cloud
    Or, le cloud offre un ensemble solide de fonctions et de protocoles de sécurité.[...]
    Le principal problème du cloud ce n'est pas la sécurité, c'est la protection des données privées. Les exemples pris ici sont nos proches malades (hôpitaux), nos enfants (écoles) et nos voisins (mairies, communes)!
    Il y a donc de très bonnes raisons pour ces entités de ne pas tout mettre sur du cloud!

    De plus, le cloud ce n'est pas magique non plus, contrairement à ce que Yubico essaye de faire croire: si on y déploie une application pourrie et pleine de failles, elle ne va pas devenir sécurisée comme par magie!

    Yubico ferait mieux de continuer à parler de ce qu'ils savent faire: l'authentification (d'ailleurs sur leur page "About Us", ils se définissent simplement comme "an authentication company").




    PS: on peut aussi relever le RSSI qui parle de SolarWinds dans un paragraphe, puis qui conseille à tout le monde d'aller vers le Cloud dans le suivant...
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

Discussions similaires

  1. L'expression doit être une valeur modifiable
    Par Aguelord dans le forum Débuter
    Réponses: 7
    Dernier message: 21/02/2021, 22h01
  2. Réponses: 0
    Dernier message: 14/08/2020, 04h46
  3. Réponses: 0
    Dernier message: 30/04/2010, 23h05
  4. Réponses: 5
    Dernier message: 28/10/2006, 14h50
  5. [...] doit utiliser une requête qui peut être mise à jour
    Par requiemforadream dans le forum ASP
    Réponses: 4
    Dernier message: 26/04/2005, 09h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo