Au cours des 40 dernières années, Kensington a constamment innové pour fournir à ses clients des solutions de productivité et de sécurité informatiques inégalées. Dans le même temps, la manière dont les services informatiques protègent les identités et les biens de leur entreprise a considérablement changé. En tant qu’industrie, nous avons tiré quelques leçons essentielles sur la nature des cyberattaques. Les cyberattaques sont :
- Extrêmement motivées (par exemple, gain monétaire)
- Extrêmement efficaces (par exemple, attaques automatisées contre de nombreuses cibles)
- Extrêmement destructrices (par exemple logiciels rançonneurs)
- Extrêmement évitables (par exemple, les attaques par phishing sont peu soignées, mais elles fonctionnent toujours !)
La triste réalité est que bon nombre de nos identités Internet (c’est-à-dire nos comptes personnels ou professionnels) ont été la cible d’une cyberattaque (généralement infructueuse). Par exemple, vous avez peut-être reçu un message inattendu accompagné d’une URL suspecte d’un ami Facebook, suivi plus tard d’un message « Désolé, mon compte a été piraté ! ». Une cyberattaque réussie peut avoir des répercussions beaucoup plus importantes sur le lieu de travail, allant de la fraude d’une petite somme, qui peut être gérée en interne sans divulgation, à une attaque de logiciel rançonneur faisant les gros titres qui paralyse l’infrastructure informatique et stoppe complètement les opérations commerciales.
Dans l’exemple Facebook, il est extrêmement peu probable que votre ami ait été désigné par un attaquant. Il est beaucoup plus probable que l’attaquant tentait de compromettre un grand nombre de comptes. Cependant, si votre ami est une célébrité, un homme politique ou un dirigeant d’entreprise important, son compte Facebook pourrait être spécifiquement ciblé par une équipe d’attaquants sophistiqués qui décident de rester non détectés et de surveiller les communications.
Les mêmes menaces existent dans le monde de l’entreprise. À mesure que la taille et la complexité d’un environnement informatique augmentent, les possibilités de réussite d’une cyberattaque augmentent également. Un adversaire peut tenter de compromettre une multitude d’identités à haut risque (par exemple, les administrateurs informatiques, le service d’assistance, les développeurs, les ressources humaines, le service financier) en utilisant différentes techniques. S’il réussit à compromettre un compte qui n’entraîne pas de paiement immédiat, il utilisera son identité compromise pour définir des chemins d’attaque supplémentaires.
Comprendre la sécurité « Zero Trust »
En mai 2021, le gouvernement des États-Unis a promulgué le décret présidentiel sur l’amélioration de la cybersécurité de la nation (EO 14208). L’un des principaux points à retenir est l’adoption d’une architecture « Zero Trust » : « Aucun acteur, système, réseau ou service opérant à l’extérieur ou à l’intérieur du périmètre de sécurité n’est digne de confiance. Au lieu de cela, nous devons vérifier tout ce qui tente d’établir l’accès. Il s’agit d’un changement radical dans la façon dont nous sécurisons notre infrastructure, nos réseaux et nos données, de la vérification réalisée une seule fois au niveau du périmètre à la vérification continue de chaque utilisateur, appareil, application et transaction ». Le principe du modèle « Zero Trust » est de « ne jamais faire confiance, toujours vérifier ».
Le gouvernement américain est activement ciblé quotidiennement par des adversaires sophistiqués pour des raisons politiques et monétaires. Dans l’intérêt de la sécurité intérieure, le gouvernement américain est également extrêmement motivé à mettre en œuvre des contrôles satisfaisants pour protéger ses identités et ses biens. La pression exercée par une main-d’œuvre à distance (en raison de la pandémie) a contraint le gouvernement à réévaluer ses environnements existants alors qu’il adopte des services cloud rapidement disponibles et matures qui peuvent considérablement améliorer la facilité d’accès et la productivité. Ce scénario est courant et fait écho chez nombre de nos clients.
Voici quelques exigences supplémentaires concernant l’authentification unique (SSO) centralisée et l’authentification multifacteur (MFA) anti-phishing :
- Les organismes doivent employer un fournisseur d’identité et un service d’authentification unique à l’échelle de l’entreprise qui peuvent être intégrés dans des applications et des plateformes courantes, et commencer à désactiver les autres systèmes d’identité.
- Les organismes fédéraux doivent élaborer des plans de mise en œuvre pour intégrer et appliquer l’authentification multifacteur.
- Les systèmes des organismes doivent exiger que les utilisateurs internes utilisent une méthode anti-phishing pour accéder à leurs comptes.
Selon la documentation sur la stratégie « Zero Trust » fédérale, « l’authentification multifacteur protège généralement contre certaines méthodes courantes d’accès non autorisé aux comptes, telles que le déchiffrement de mots de passe faibles ou la réutilisation de mots de passe obtenus suite à une violation de données. Cependant, de nombreuses approches de l’authentification multifacteur ne protègent pas contre les attaques de phishing sophistiquées, qui peuvent présenter des contrefaçons convaincantes d’applications officielles et impliquer une interaction dynamique avec les utilisateurs. Les utilisateurs peuvent être dupés en fournissant un code à usage unique ou en répondant à une invite de sécurité qui accorde l’accès au compte de l’attaquant. Ces attaques peuvent être entièrement automatisées et fonctionner à bas prix à grande échelle. »
Dans un modèle « Zero Trust », il ne suffit plus de permettre à vos utilisateurs de se connecter au réseau de l’entreprise en local ou via VPN et de continuer à utiliser l’authentification à facteur unique (par exemple, nom d’utilisateur et mot de passe) pour accéder aux applications internes. Étant donné que tous les réseaux sont considérés comme non fiables, ces applications héritées doivent être modernisées (par exemple, authentification unique d’entreprise et authentification multifacteur anti-phishing), quel que soit le réseau auquel l’utilisateur se connecte.
Un autre point important est que certaines des méthodes d’authentification multifacteur les plus courantes (par exemple, les mots de passe à usage unique ou les notifications Push) que nos clients ont déployées aujourd’hui sont encore vulnérables aux attaques de phishing sophistiquées.
Avantages de la biométrie et de l’authentification sans mot de passe
Malgré l’hésitation à adopter la biométrie pour les appareils d’entreprise traditionnels, beaucoup d’entre nous ont embrassé la commodité et la facilité d’utilisation de la biométrie avec nos téléphones portables. L’une des idées fausses les plus courantes sur la biométrie est qu’un mauvais acteur pourrait imiter un utilisateur en effectuant une rétro-ingénierie de son empreinte digitale. Ce type d’exploitation est exceptionnellement rare car l’attaquant aurait besoin des éléments suivants :
- Possession physique de la biométrie
- Biométrie présentant une vulnérabilité connue
Comme vous pouvez l’imaginer, ce scénario est plus difficile et trop coûteux pour un attaquant, et peut-être même impossible.
La biométrie empêche un attaquant d’utiliser ses techniques les plus efficaces et exploitables à distance, telles que l’utilisation d’informations d’identification volées sur le dark web ou une page de phishing qui récupère vos informations d’identification, ainsi que votre mot de passe à usage unique.
En outre, la plupart des entreprises utilisent un fournisseur d’identité centralisé tel qu’Azure Active Directory (AD) ou Okta pour leur authentification unique et peuvent exploiter leurs clés de sécurité biométriques sur tous leurs sites Web fédérés. Dans l’illustration ci-dessous, Azure AD est le fournisseur d’identité et ses utilisateurs peuvent utiliser une clé de sécurité FIDO2 (par exemple, VeriMark Guard) ou des dispositifs de sécurité biométriques compatibles avec Windows Hello (par exemple, VeriMark, VeriMark IT, VeriMark Desktop) pour s’authentifier auprès d’applications fédérées.
Bien que nous puissions répondre à nombre de vos exigences biométriques et sans mot de passe, nous reconnaissons que les mots de passe ne disparaîtront pas de sitôt. De la même manière que les gestionnaires de mots de passe sont un excellent moyen de protéger l’utilisation de mots de passe vulnérables, les dispositifs de sécurité biométriques sont un excellent moyen de protéger l’utilisation de ces gestionnaires de mots de passe.
« Malgré le battage médiatique, les mots de passe ne sont tout simplement pas en train de disparaître... L’utilisation du protocole FIDO2 lié à des connexions par mot de passe associées à une authentification à deux facteurs offre un équilibre optimal entre convivialité et sécurité. Nous sommes enthousiastes quant à l’avenir de l’authentification et nous nous réjouissons de l’évolution continue de FIDO2, de la biométrie et de l’authentification multifacteur. » — Craig Lurey, directeur de la technologie et cofondateur de Keeper Security
Comment protéger votre environnement avec Kensington
Chez Kensington, nous avons lancé une gamme de produits de sécurité biométriques de notoriété mondiale qui garantissent un niveau de sécurité considérablement plus élevé aux consommateurs réguliers et aux clients d’entreprise. Notre gamme de produits VeriMark est basée sur SentryPoint, une suite de fonctionnalités de sécurité de pointe pour le capteur d’empreintes digitales de Synaptics, qui intègre plusieurs facteurs de différenciation clés sur le marché, résumés dans le tableau suivant.
| Fonctionnalité de sécurité Synaptics SentryPoint | Description |
|---|---|
| SecureLink | Solution qui assure un puissant chiffrement TLS 1.2 (chiffrement des canaux de communication) / AES-256 (chiffrement des données) du capteur à l’hôte. |
| Technologie contre les usurpations d’identité | Capable de différencier un vrai doigt d’un faux doigt. |
| Match-in-Sensor (Correspondance capteur) |
Une correspondance sécurisée avec le modèle d’empreinte digitale est établie sur le silicone du capteur d’empreintes digitales, ce qui limite le transfert de données vers l’hôte en fournissant une simple communication « oui/non » ; le résultat de la correspondance est également chiffré. |
| Quantum Matcher | Algorithme accéléré de détection de correspondance |
| Taux de fausse acceptation (FAR) Taux de faux rejet (FRR) |
Taux de fausse acception (FAR) et taux de faux rejet (FRR) Synaptics SentryPoint |
Nous sommes conscients des difficultés rencontrées par nos clients pour déterminer les outils de sécurité adaptés à leur environnement dans leurs nombreux cas d’utilisation. Pour plus de clarté, nous vous proposons les exemples suivants :
Employés de bureau
Contrairement à la récente tendance au télétravail, de nombreuses entreprises ne peuvent tout simplement pas prendre en charge des employés à distance étant donné la nature de leur travail. Il peut s’agir d’un centre d’appels hautement optimisé ou d’exigences réglementaires strictes courantes dans la finance et la base industrielle de défense.
Les employés de bureau ont la possibilité de tirer parti de tous nos produits. VeriMark Desktop ou VeriMark IT peut permettre aux employés d’enregistrer une empreinte digitale pour l’utilisation de Windows Hello for Business et de toute autre application Web compatible avec FIDO U2F. Si un utilisateur est très mobile ou accède régulièrement à différents postes de travail sur différents systèmes d’exploitation, il se peut que VeriMark Guard soit mieux adapté.
Télétravailleurs
Dans un contexte où le télétravail est de plus en plus répandu, il est difficile de suivre vos employés et les lieux où ils se connectent. Auparavant, un signal d’alarme aurait été déclenché si un employé basé en Californie commençait soudainement à s’authentifier à New York, mais les télétravailleurs se sont habitués à la flexibilité de pouvoir travailler de n’importe où. Pour les employés à distance, notre recommandation est en fait la même que pour les employés sur site. Il est également important de savoir s’ils sont 100 % distants ou « hybrides » (ils reviennent au bureau à un moment donné) et s’ils doivent jongler entre différents appareils, auquel cas la portabilité de VeriMark Guard peut être préférable.
Postes de travail partagés (bornes, pointeuses, etc.)
Bien que nous nous concentrions souvent sur les travailleurs du savoir lorsque nous mettons en œuvre une nouvelle sécurité au sein de notre organisation, de nombreuses entreprises s’appuient sur des postes de travail partagés qui sont à la fois essentiels pour l’entreprise et susceptibles d’être exploités. Les exemples les plus courants peuvent être une pointeuse ou un système de point de vente. Supposons un scénario dans lequel l’employé A pointe pour l’employé B pour lui éviter d’être en retard au travail, ce qui est évitable.
VeriMark Desktop est probablement la meilleure solution pour les postes de travail partagés, surtout si le poste de travail n’est utilisé que brièvement pour une opération rapide avant d’être disponible pour l’utilisateur suivant. Vous pouvez également tirer parti de VeriMark Guard si vous souhaitez que les employés soient responsables d’apporter leurs clés de sécurité individuelles à leur borne. De plus, VeriMark Guard est une meilleure solution si le poste de travail est utilisé pendant une certaine durée.
Perspectives d’avenir
L’un des rares points positifs de la pandémie de 2020-2021 est qu’elle a encouragé les entreprises à moderniser rapidement leurs applications et à adopter l’authentification multifacteur pour soutenir leurs employés à distance de plus en plus nombreux. Ne pas s’adapter aux menaces de cybersécurité en constante évolution peut entraîner une cyberattaque potentiellement catastrophique pour l’activité ou la mission de votre entreprise.
Découvrez VeriMark et comment mettre en œuvre la sécurité « Zero Trust » ici.