Le modèle Zero Trust (ouvre un nouvel onglet) est basé sur un concept simple, "ne faire confiance à rien ni à personne". Forrester note que Zero Trust "est centré sur la conviction que la confiance est une vulnérabilité et que la sécurité doit être conçue avec la stratégie" ne jamais faire confiance, toujours vérifier "".
Plus précisément, les organisations qui adoptent le modèle Zero Trust mettent en œuvre des politiques pour vérifier tout et tout le monde, qu'ils soient internes ou externes.
Bien que l'approche Zero Trust existe depuis plus d'une décennie, inventée pour la première fois en 2009 par l'analyste de Forrester John Kindervag, elle n'a été largement adoptée que très récemment.
Zero Trust (ouvre dans un nouvel onglet) a développé et modernisé de nombreux aspects de la sécurité informatique (ouvre dans un nouvel onglet). Par exemple, alors que les VPN traditionnels - s'ouvre dans un nouvel onglet - offrent toujours des protections essentielles lors de la connexion à distance du domicile à un réseau d'entreprise, les réseaux Zero Trust ont fait passer la sécurité des télétravailleurs à un niveau supérieur en s'adressant spécifiquement aux environnements modernes et en expansion, tels que le cloud. . l'infrastructure, les appareils mobiles et l'Internet des objets (IoT).
De plus, le concept Zero Trust a transformé la sécurité des e-mails. Les anciennes solutions de sécurité des e-mails ne ciblent que les types d'attaques traditionnels, tels que le spam ou le contenu suspect dans le corps d'un message, une approche qui ne résiste plus aux cybercriminels avancés d'aujourd'hui. Une approche Zero Trust de la sécurité des e-mails, d'autre part, offre aux organisations la couche de protection supplémentaire nécessaire pour se défendre contre les menaces véhiculées par e-mail, même les plus complexes, telles que le phishing, l'ingénierie sociale et les attaques par compromission des e-mails professionnels (BEC).
Alors que les e-mails continuent d'être le vecteur d'attaque numéro un et que les menaces basées sur les e-mails deviennent plus diverses, rapides et sophistiquées, il est essentiel que les entreprises appliquent le modèle Zero Trust à leur stratégie de sécurité des e-mails.
Placer l'authentification au cœur de la sécurité des e-mails
Les menaces par e-mail ont évolué au-delà des simples messages de spam vers des attaques de phishing hautement sophistiquées, y compris des domaines similaires, l'usurpation de nom d'affichage, la propriété de domaine non autorisée et l'ingénierie sociale.
Ces attaques utilisent des techniques d'usurpation d'identité pour faire croire à l'utilisateur final que l'expéditeur et le message sont légitimes, généralement en se faisant passer pour un autre employé, un partenaire commercial ou une marque qu'il connaît et en qui il a confiance. L'objectif est d'inciter les employés à transférer de l'argent, à télécharger des logiciels malveillants ou à divulguer des informations sensibles.
Adopter une approche Zero Trust pour les e-mails peut aider les organisations à se défendre contre les attaques de phishing en mettant l'accent sur l'authentification, en garantissant que les e-mails entrant dans l'entreprise ou atteignant les boîtes de réception des utilisateurs finaux proviennent de personnes, de marques et de domaines légitimes.
Le moyen le plus efficace d'y parvenir est de mettre en œuvre des politiques de sécurité qui garantissent qu'aucun e-mail n'est fiable et livré à moins qu'il ne passe plusieurs protocoles d'authentification, notamment :
SPF – Les enregistrements Sender Policy Framework (SPF) permettent à un propriétaire de domaine de spécifier quels noms d'hôte et/ou adresses IP sont autorisés à envoyer des e-mails au nom du domaine.
DKIM : DomainKeys Identified Mail (DKIM) permet aux propriétaires de domaine (s'ouvre dans un nouvel onglet) d'appliquer une signature numérique sécurisée aux e-mails.
DMARC : les stratégies d'authentification, de rapport et d'application des messages basées sur le domaine (DMARC (ouvre un nouvel onglet)) peuvent empêcher toute personne, à l'exception des expéditeurs spécifiquement autorisés, d'envoyer des messages à l'aide du domaine d'une organisation. Empêchez les acteurs malveillants d'envoyer des e-mails de phishing et des tentatives d'usurpation de domaine qui semblent provenir de marques de confiance. En ajoutant DMARC à ses informations de domaine Internet, une entreprise peut découvrir qui usurpe l'identité de sa marque dans les e-mails, empêchant ces messages d'atteindre les utilisateurs.
Pour utiliser DMARC, les organisations doivent également disposer des protocoles SPF et DKIM. DMARC permet aux entreprises de définir des politiques basées sur SPF et DKIM pour indiquer aux serveurs des destinataires des e-mails quoi faire lorsqu'ils reçoivent de faux e-mails qui usurpent un domaine. Ces options consistent à signaler les e-mails mais à ne rien faire, à les déplacer vers un dossier de spam (quarantaine) ou à les rejeter entièrement. Enfin, pour les organisations qui cherchent à mettre en œuvre DMARC, de nombreuses ressources sont disponibles pour les aider à démarrer.
En plus d'authentifier les expéditeurs d'e-mails, il est également important d'appliquer les principes Zero Trust aux utilisateurs d'e-mails. Eux aussi doivent s'authentifier, et l'authentification multifacteur (MFA) est l'un des moyens les plus courants et les plus efficaces de le faire.
Zero Trust n'a aucune chance sans l'implication des employés
Si l'adoption d'une approche Zero Trust en matière de sécurité des e-mails peut réduire considérablement le risque d'être victime de menaces par e-mail, le modèle à lui seul n'est pas efficace à 100 %. Les employés doivent aussi faire leur part.
En fin de compte, le temps, les efforts et le budget investis dans le modèle Zero Trust seront sous-évalués si les employés n'adoptent pas également un état d'esprit Zero Trust pour tout ce qu'ils font au bureau et à la maison (ce qui est souvent le cas de nos jours). ). C'est pourquoi une formation continue de sensibilisation à la cybersécurité est essentielle pour se défendre contre les menaces avancées d'aujourd'hui.
Par exemple, une récente étude de Mimecast a révélé que les « mauvais clics » avaient triplé parmi les travailleurs à distance au début de la pandémie de COVID-19, lorsque le travail à distance (et la cyber-hygiène laxiste) sont devenus la norme. Cependant, la même recherche a révélé que seulement une organisation sur cinq offre une formation continue de sensibilisation à la cybersécurité aux utilisateurs finaux.
Les organisations doivent prendre le temps de s'assurer que leurs employés sont formés sur la manière de repérer et de signaler les e-mails suspects. Informez-les des signes révélateurs d'attaques de phishing par e-mail, tels que des URL et des pièces jointes suspectes, des fautes d'orthographe et des tonalités d'urgence mal placées. Et assurez-vous que s'ils remettent en question la légitimité d'un e-mail, ils disposent d'un moyen direct et facile de le signaler.
Le concept Zero Trust peut être simple, mais sa mise en œuvre peut être beaucoup plus difficile. En mettant l'accent sur l'authentification et la formation de sensibilisation des employés à la cybersécurité, vous serez sur la bonne voie pour vous défendre contre les attaques de phishing, même les plus sophistiquées, et renforcer la sécurité globale de votre organisation.