Le modèle Zero Trust est basé sur un concept simple, « ne faites confiance à personne ni à rien ». Forrester note que Zero Trust "est basé sur la conviction que la confiance est une vulnérabilité et que la sécurité doit être conçue avec la stratégie du" ne jamais faire confiance, toujours vérifier ". Plus précisément, les organisations qui adoptent le modèle Zero Trust mettent en œuvre des politiques pour vérifier tout et tout le monde, qu'ils soient internes ou externes. Bien que l'approche Zero Trust existe depuis plus d'une décennie, inventée pour la première fois en 2009 par l'analyste Forrester John Kindervag, elle n'a été largement adoptée que récemment. Zero Trust a développé et modernisé de nombreux aspects de la sécurité informatique. Par exemple, alors que les VPN traditionnels offrent toujours des protections essentielles lors de la connexion à distance d'un réseau domestique à un réseau d'entreprise, les réseaux Zero Trust ont fait passer la sécurité des télétravailleurs à un niveau supérieur, en s''adressant spécifiquement aux environnements modernes et en pleine croissance, tels que infrastructure cloud, appareils mobiles et Internet des objets (IoT). De plus, le concept Zero Trust a transformé la sécurité des e-mails. Les anciennes solutions de sécurité de messagerie se concentrent uniquement sur les types d'attaques traditionnels, tels que le spam ou le contenu suspect dans le corps d'un message, une approche qui ne résiste plus aux menaces avancées d'aujourd'hui. D'autre part, une approche zéro confiance de la sécurité des e-mails offre aux entreprises la couche de protection supplémentaire nécessaire pour se défendre contre les menaces les plus complexes transmises par e-mail, telles que le phishing, l'ingénierie sociale et les attaques par compromission des e-mails professionnels (BEC). Alors que le courrier électronique reste le vecteur d'attaque numéro un et que les menaces basées sur le courrier électronique augmentent en variété, en vitesse et en sophistication, il est essentiel que les entreprises appliquent le modèle Zero Trust à leur stratégie de sécurité.
Faites de l'authentification le cœur de la sécurité des e-mails
Les menaces basées sur les e-mails ont évolué au-delà des simples messages de spam vers des attaques d'usurpation d'e-mails très sophistiquées, y compris l'usurpation de noms similaires, l'usurpation de nom d'affichage, les domaines appartenant à des escrocs et l'ingénierie sociale.
Ces attaques utilisent des techniques d'usurpation d'identité pour faire croire à l'utilisateur final que l'expéditeur et le message sont légitimes, généralement en se faisant passer pour un autre employé, un partenaire commercial ou une marque qu'il connaît et en qui il a confiance. L'objectif est d'amener les employés à transférer de l'argent, à télécharger des logiciels malveillants ou à révéler des informations sensibles.
Adopter une approche de confiance zéro pour les e-mails peut aider les organisations à se défendre contre les attaques d'usurpation d'identité en se concentrant sur l'authentification, en s'assurant que les e-mails entrants dans l'environnement de l'entreprise ou atteignant les boîtes de réception des utilisateurs finaux proviennent de personnes, de marques et de domaines légitimes.
Le moyen le plus efficace d'y parvenir consiste à mettre en œuvre des politiques de sécurité qui garantissent qu'aucun e-mail n'est fiable et remis à moins qu'il ne passe plusieurs protocoles d'authentification, notamment : SPF - Les enregistrements SPF (Sender Policy Framework) permettent au propriétaire d'un domaine de spécifier les noms d'hôte et /ou les adresses IP peuvent envoyer des e-mails au nom du domaine.
DKIM : DomainKeys Identified Mail (DKIM) permet aux propriétaires de domaine d'appliquer une signature numérique sécurisée aux e-mails.
DMARC : les stratégies d'authentification, de création de rapports et de conformité des messages basés sur le domaine (DMARC) peuvent empêcher toute personne, à l'exception des expéditeurs spécifiquement autorisés, d'envoyer des messages à l'aide du domaine d'une organisation. Empêchez les acteurs malveillants d'envoyer des e-mails de phishing et des tentatives d'usurpation de domaine qui semblent provenir de marques de confiance. En ajoutant DMARC à ses informations de domaine Internet, une entreprise peut découvrir qui usurpe l'identité de sa marque dans les messages électroniques, empêchant ces messages d'atteindre les utilisateurs.
Pour utiliser DMARC, les organisations doivent également disposer des protocoles SPF et DKIM. DMARC permet aux organisations de définir des politiques basées sur SPF et DKIM pour indiquer aux serveurs de messagerie destinataires quoi faire lorsqu'ils reçoivent de faux e-mails d'usurpation de domaine. Ces options incluent le marquage des e-mails sans prendre aucune mesure, leur déplacement vers un dossier de courrier indésirable (quarantaine) ou leur rejet total. Enfin, pour les organisations qui cherchent à mettre en œuvre DMARC, de nombreuses ressources sont disponibles pour les aider à démarrer.
En plus d'authentifier les expéditeurs d'e-mails, il est également important d'appliquer les principes Zero Trust aux utilisateurs d'e-mails.
Zero Trust n'a aucune chance sans l'adhésion des employés
Même si l'adoption d'une approche de confiance zéro pour la sécurité des e-mails peut réduire considérablement le risque d'une entreprise face aux menaces par e-mail, le modèle seul n'est pas efficace à 100 %. Les employés doivent aussi faire leur part. En fin de compte, le temps, les efforts et le budget investis dans le modèle Zero Trust seront sous-évalués si les employés n'adoptent pas non plus un état d'esprit Zero Trust pour tout ce qu'ils font au bureau et à la maison (ce qui est souvent le même aujourd'hui). . C'est pourquoi une formation continue de sensibilisation à la cybersécurité est essentielle pour se défendre contre les menaces avancées d'aujourd'hui. Par exemple, une récente recherche Mimecast a révélé une multiplication par trois des « mauvais clics » parmi les travailleurs à distance au début de la pandémie de COVID-19, lorsque le travail à distance (et la cyber-hygiène laxiste) sont devenus la norme clé. . Cependant, la même recherche a révélé que seule une organisation sur cinq offre une formation continue de sensibilisation à la cybersécurité aux utilisateurs finaux. Les organisations doivent prendre le temps de s'assurer que leurs employés sont formés pour repérer et signaler les e-mails suspects. Informez-les des signes révélateurs d'attaques de phishing par e-mail, tels que des URL et des pièces jointes suspectes, des fautes d'orthographe et des tonalités d'urgence inappropriées. Et assurez-vous que s'ils remettent en question la légitimité d'un e-mail, ils disposent d'un moyen simple et facile de le signaler. Le concept Zero Trust peut être simple, mais sa mise en œuvre peut être beaucoup plus difficile. En vous concentrant sur l'authentification et en formant vos employés à la cybersécurité, vous serez sur la bonne voie pour vous défendre contre les attaques de phishing par e-mail les plus sophistiquées, renforçant ainsi la posture de sécurité globale de votre organisation.