Le travail hybride favorise une transition vers une sécurité centrée sur l’identité

La pandémie de COVID-19 a sans conteste été l’un des événements les plus perturbateurs du siècle en matière de travail. La perturbation a commencé lorsque les organisations ont été obligées de faire face à une main-d’œuvre à distance, découvrant que c’était non seulement possible, mais aussi productif.

Au cours des dix-huit derniers mois, l’attitude des organisations à l’égard du travail à distance a considérablement changé, mais pas au point d’adopter pleinement un tel modèle à l’avenir. Oui, il existe des organisations qui fonctionnent et prévoient de continuer à fonctionner en mode « entièrement à distance ». Mais un modèle plus probable est un modèle hybride : un modèle dans lequel certains employés travaillent à la fois à domicile, d’autres au bureau, et d’autres encore dans une combinaison des deux.

Les débats font rage sur la question de savoir qui doit décider où les employés travaillent un jour donné, ainsi que sur le nombre de jours où ils doivent être au bureau, mais en général, l’idée d’une main-d’œuvre entièrement hybride a été acceptée dans les secteurs qui peuvent la soutenir.

Personnellement, je regarde ces discussions avec un intérêt détaché parce que, eh bien, je n’ai jamais été au bureau et croyez-moi, je n’y serai pas. La route I94 jusqu'à Seattle est vraiment très longue.

Pour être honnête, les détails de mise en œuvre d’un modèle de travail hybride ne sont pas aussi importants que le résultat : il y aura des employés qui travailleront à domicile et au bureau tous les jours de la semaine. Le travail hybride est la nouvelle norme.

Cette déclaration apparemment simple a un impact profond sur l’avenir des stratégies d’accès.

Accès basé sur IP

Vous voyez, les technologies IP traditionnelles reposent en grande partie sur un ensemble fixe de plages et d’adresses réseau. Les politiques refusent ou autorisent l’accès aux ressources réseau et applicatives en fonction de l’adresse IP.

C'est le but d'un VPN : vous attribuer efficacement une adresse IP « locale » qui fait partie de la plage d'adresses IP autorisées à circuler librement sur le réseau de l'entreprise.

Maintenant, nous pourrions continuer à faire ça. Mais nous ne le ferons pas, du moins pas pour la plupart des travailleurs. Il y aura toujours des opérateurs et des ingénieurs qui auront besoin du type d’accès réseau fourni par un VPN, mais soyons honnêtes : je n’ai pas besoin d’un VPN pour naviguer sur Confluence ou SharePoint ou pour embêter les architectes sur Slack. Si mes besoins de productivité et de communication sont entièrement satisfaits par des applications, alors je n’ai vraiment pas besoin d’accéder au réseau.

Et soyons francs, restreindre l’accès au réseau est probablement le meilleur changement de stratégie de sécurité que nous puissions faire en ce moment, compte tenu de l’augmentation des incidents de malwares, de ransomwares et d’autres logiciels malveillants. Moins ces constructions destructrices ont accès à des ressources, mieux c’est.

Il s’agit d’une menace réelle, car la réalité est qu’une main-d’œuvre hybride, en grande partie transitoire, est susceptible d’attraper un logiciel malveillant et de se connecter un jour au VPN, puis, BAM ! Tu es en difficulté. C'est en partie la raison pour laquelle une bonne solution VPN inclut des analyses et des contrôles de santé avant toute autre chose . Mais toutes les solutions VPN ne sont pas de bonnes solutions, et certaines organisations n’exigent pas d’analyses même si la solution VPN peut les fournir.

Cela ne signifie pas non plus que tout est rose pour les solutions d’accès aux applications. Parce que beaucoup d’entre eux sont basés sur l’IP et, dans une entreprise, il y a beaucoup d’adresses IP à gérer.

Le nombre de périphériques réseau qu'un seul NetOps doit gérer est à lui seul significatif : plus de la moitié d'entre eux gèrent entre 251 et 5 000 périphériques. ( Enquête annuelle NetDevOps )

Ajoutez à cela mon adresse IP personnelle et privée ainsi que les adresses IP personnelles et privées de tous ceux qui pourraient travailler à domicile aujourd'hui. Oh, et n’oublions pas le nombre croissant de communications de machine à machine qui doivent être sécurisées. Le rapport annuel sur Internet de Cisco prédit que « d'ici 2023, il y aura plus de trois fois plus d'appareils en réseau sur Terre que d'humains ». « Environ la moitié des connexions mondiales seront des connexions de machine à machine. »

Le résultat est un modèle intenable qui submerge les opérateurs, les équipes de sécurité et, en fin de compte, les services et les systèmes qui doivent appliquer les politiques.

L'identité est la voie 

Les défis de sécurité associés au travail hybride s’ajoutent à ceux découlant du rythme rapide de la numérisation. Ensemble, ces défis orienteront les modèles de sécurité vers une approche centrée sur l’identité. Cette approche prend en compte non seulement les utilisateurs humains, mais également les utilisateurs de machines sous la forme de charges de travail, d’appareils et de scripts. Après tout, les charges de travail sont de plus en plus aussi transitoires que les personnes. Et en fin de compte, la charge de travail A reste la charge de travail A, quelle que soit l’adresse IP qu’elle utilise. Tout comme je suis toujours moi-même, que je sois à mon bureau à domicile, à l'aéroport de Minneapolis ou au bureau à Seattle.

Bien que l’IP puisse certainement faire partie d’une politique de sécurité centrée sur l’identité, elle ne constitue pas le facteur principal ou déterminant pour autoriser l’accès à une ressource. Il s’agit plutôt d’un attribut qui aide à déterminer le niveau de vérification d’identité qui doit être exigé.

Si je suis sur le réseau VPN/d'entreprise, mes informations d'identification sont peut-être suffisantes. Mais si ce n’est pas le cas, alors peut-être que mes références et un deuxième facteur devraient être exigés. Et si j'essaie d'accéder à partir d'une adresse IP précédemment invisible, il y a peut-être un troisième facteur.

Quelle que soit la manière dont l’adresse IP est utilisée, elle ne doit plus être utilisée seule. Même pas pour les charges de travail. Après tout, les logiciels malveillants peuvent être « présents » sur le réseau de l’entreprise, mais ne devraient jamais être autorisés à accéder aux applications et aux ressources.

En outre, nous devons élargir notre compréhension de l’identité au-delà des personnes, pour inclure les charges de travail, les applications et les appareils sur lesquels nous comptons de plus en plus.

Je suis sûr que je n’ai pas besoin de mentionner la débâcle de SolarWinds. Mais connaissiez-vous des menaces telles que Siloscape , décrit comme un « logiciel malveillant [qui] ouvre des vulnérabilités connues dans les serveurs Web et les bases de données afin de compromettre les nœuds Kubernetes et de créer des portes dérobées dans les clusters » et la menace des consoles de gestion mal configurées . De nombreuses consoles de gestion sont principalement sécurisées par des contrôles basés sur IP qui finissent par être désactivés car ils interfèrent avec l'accès à distance, un impératif dans le modèle de travail hybride d'aujourd'hui. Un ensemble de contrôles d’accès plus robuste, basé sur l’identité, offrirait une protection contre le piratage et l’utilisation non autorisée, quel que soit le lieu d’origine. De plus, une sécurité robuste centrée sur l’identité offrirait une protection contre les systèmes compromis qui tentent d’infecter, de détourner ou d’exploiter d’autres ressources depuis la sécurité du « réseau d’entreprise ».

Nous évoluons lentement depuis longtemps vers une sécurité basée sur l’identité. Mais la croissance explosive de l’automatisation et de la numérisation, ainsi que la tendance vers des modèles de travail hybrides, accéléreront ce mouvement jusqu’à ce que nous abandonnions enfin les adresses IP comme principale méthode de contrôle d’accès.

La sécurité centrée sur l’identité est la solution.