La règle de sécurité zéro est un élément essentiel de Zero Trust
Zero Trust est l’un des mots (ou expressions) à la mode les plus en vogue dans le domaine technologique actuel. Elle a été désignée comme la troisième technologie la plus enthousiasmante dans notre étude sur l’état de la stratégie application 2022 et suscite une part d’esprit significative dans toute l’organisation.
L’une des vérités négligées du Zero Trust est qu’il s’agit en réalité d’un état d’esprit , et non d’une technologie ou d’une solution. C'est pourquoi je continue à revenir à notre conviction fondamentale sur le zero trust :
« Nous pensons que la sécurité Zero Trust est, à la base, un état d’esprit – un système de croyances – à partir duquel des techniques et des tactiques émergent et exploitent des technologies spécifiques, qui peuvent ensuite être appliquées pour répondre à un large éventail de menaces de sécurité. »
C’est pourquoi il est important de revoir la règle de sécurité zéro.
Pour ceux qui ne sont pas familiers avec le concept de « Règle zéro », il dérive des jeux de rôle dans lesquels les règles jouent un rôle important. Les règles déterminent l’ordre d’interaction, l’interprétation des lancers de dés et ce que vous pouvez et ne pouvez pas faire. Tout comme le monde réel. Mais dans les jeux de rôle, il existe une règle zéro, qui remplace toutes les autres règles : « le MJ est l’arbitre final de toutes les choses dans le jeu. » Cela signifie essentiellement que le MJ peut modifier, ajouter et supprimer des règles à tout moment. Et croyez-moi, c’est souvent le cas.
Cela peut surprendre certaines personnes d’apprendre que la sécurité a une règle zéro et qu’elle est la suivante :
« Tu ne feras pas confiance aux commentaires des utilisateurs. Jamais."
Il ne s’agit pas d’une règle nouvelle ; elle a déjà été évoquée à de nombreuses reprises et j’ai écrit à plusieurs reprises à ce sujet pour rappeler qu’elle est au cœur des meilleures pratiques en matière de sécurité. Le non-respect de cette règle conduit à des vulnérabilités qui peuvent exploser et se transformer en une exploitation généralisée et dangereuse .
La règle de sécurité zéro reste d’actualité aujourd’hui, peut-être même plus que jamais. Avec la prolifération des API et l’explosion des services numériques, il existe plus de robots, de scripts et de mauvais acteurs que jamais. Et bien que le « credential stuffing » reste une technique d’attaque majeure, les informations sur les exploits tirant parti de services numériques et d’API qui ne respectent pas la règle de sécurité zéro ne manquent pas.
Faire confiance aux commentaires des utilisateurs est un anathème pour le concept même de confiance zéro. Aucune entrée d’utilisateur, qu’il s’agisse d’un humain, d’un logiciel ou d’un système, ne doit être considérée comme sûre à traiter sans inspection. Période. Arrêt complet.
L’un des principes fondamentaux – les croyances – du Zero Trust est de supposer un compromis. Un compromis peut signifier la présence d’un logiciel malveillant ou le contrôle d’un acteur malveillant. Voilà l’ état du système. La conséquence est que les données (les messages) provenant de ce système peuvent être malveillantes.
Par conséquent, vous ne devriez jamais faire confiance aux informations fournies par un utilisateur. Période.
Comme indiqué ci-dessus, cette règle de base conduit à des tactiques (inspection) et des technologies (WAAP, WAF, NGF) qui peuvent être utilisées pour détecter et neutraliser une grande variété d’attaques.
La règle de sécurité zéro est un élément essentiel du principe de confiance zéro. Son adoption conduira à des tactiques plus efficaces et à une sécurité renforcée pour tous.
Restez en sécurité là-bas.
