Le concept de Negative Trust ne vise pas à se méfier de ses propres collaborateurs, mais à dérouter les attaquants ayant infiltré le système avec des identités usurpées.
Dans un monde idéal, les entreprises pourraient donner carte blanche à leurs employés pour explorer leurs systèmes informatiques dès qu’ils ont accès au réseau, et ce sans la moindre hésitation.
Mais dans le monde réel, loin d’être idéal, les intrus savent parfaitement naviguer latéralement pour accéder aux données sensibles d’une entreprise. Accorder une confiance absolue aux collaborateurs n’est donc pas sans risques.
Depuis quelques années, les équipes de cybersécurité ont réagi en mettant en place une approche Zero Trust. Ce modèle régit l’accès au réseau par un accès autorisé et authentifié pour chaque application.
Pourquoi ? Parce qu’en limitant l’accès des employés et en vérifiant leur réel besoin de se connecter à certaines applications, il est possible de créer une vraie ligne de défense contre les cybercriminels et de réduire la surface d’attaque de tout système. C’est ici qu’intervient le concept de Negative Trust .
L’identité : une porte d’entrée
Le concept de Negative Trust ne vise pas à se méfier de ses propres collaborateurs, mais à dérouter les attaquants ayant infiltré le système avec des identités usurpées. Cela revient à anticiper les actions des attaquants qui ont réussi à berner un employé pour obtenir ses identifiants.
Les cybercriminels essaieront d’exploiter les rôles et privilèges qu’ils auront récupérés pour se déplacer dans le système et accéder aux données sensibles. Anticiper ce comportement dans toute stratégie de défense pourra alors aider à détourner intentionnellement l’attention des attaquants et à détecter leur présence dans l’environnement.
La cyberattaque d’un casino de Las Vegas à l’automne dernier est un parfait exemple des méthodes des cybercriminels qui contournent les mesures de sécurité en place. En recourant à l’ingénierie sociale, ces derniers ont profité de la négligence d’un employé pour infiltrer le système et dérober des données. Ce qui démontre une fois de plus que le facteur humain reste le maillon le plus vulnérable de toute stratégie de cyberdéfense…
Une fois que les pirates ont accès à l’infrastructure et se cachent derrière l’identité d’un employé, limiter les attributions et les permissions des uns et des autres ne suffit plus.
La vraie question est donc la suivante : pourquoi ne pas plutôt prévoir et contrôler les mouvements d’un pirate une fois qu’il aura infiltré l’appareil d’un utilisateur ?
Bien comprendre « l’Échelle de la Cyber-douleur »
Il existe un modèle efficace pour optimiser l’utilisation des informations concernant les cybermenaces dans les opérations de détection : « l’échelle de la cyber-douleur ».
Cette représentation hiérarchique illustre les niveaux de difficulté auxquels les attaquants sont confrontés lorsqu’ils tentent de contourner les mesures de sécurité.
Les mesures classiques qui se trouvent à la base de cette pyramide sont souvent faciles à contourner. A mesure que l’on monte dans l’échelle, on trouve des tactiques, techniques et procédures (TTP) sophistiquées utilisées par les attaquants, et que ces derniers développent et perfectionnent continuellement au fil du temps.
Pour créer des TTP efficaces, les cybercriminels doivent redoubler d’efforts et mobiliser des ressources considérables mais, dès que ces comportements sont identifiés et analysés, il devient envisageable de développer des contre-mesures adaptées.
Les entreprises peuvent dans ce cas mettre en place des stratégies de défense et exploiter les faiblesses des cybercriminels, notamment grâce à des tactiques de déception qui s’inspirent de leurs propres méthodes et stratégies d’attaque. Les pirates se sentent en sécurité et peuvent, par inadvertance, révéler leur présence ou leurs intentions. Pour repérer et identifier les hackers, il est donc essentiel de surveiller et d’analyser leurs comportements.
Les mesures de sécurité classiques qui peuvent être facilement contournées et qui se situent au bas de l’échelle ne doivent plus servir de référence, elles ne suffisent plus. Il est donc plus judicieux de se concentrer sur le sommet de l’échelle, où l’on peut observer et analyser le comportement des hackers potentiels ; une approche qui permettra de détecter les attaques et d’y répondre de manière plus proactive pour améliorer la posture de sécurité globale.
Dans cet esprit, les entreprises peuvent s’appuyer sur des technologies de déception et créer un labyrinthe de fausses données et de fausses applications. Elles pourront ainsi identifier le cybercriminel ou le collaborateur malveillant recourant à une identité volée pour accéder à des domaines non autorisés.
Combiner Zero Trust et Negative Trust pour gagner en efficacité
Pour lutter contre les cybermenaces de manière efficace, il est vital d’identifier les acteurs malveillants et de connaître les obstacles qu’ils dressent sur la route de notre sécurité. Les mesures de sécurité classiques étant souvent insuffisantes face à l’évolution des tactiques déployées par les cybercriminels, il est donc indispensable d’intégrer le concept de Negative Trust en complément de l’approche Zero Trust.
En effet, le Negative Trust consiste à devancer et à démasquer les attaquants parvenant à s’infiltrer dans le système informatique. Les entreprises qui parviennent à comprendre le comportement de ces intrus peuvent les rediriger de manière intentionnelle en utilisant des techniques de déception : une stratégie qui permet non seulement de révéler leur présence, mais également de concevoir des architectures et stratégies de sécurité plus robustes et plus efficaces.
Ainsi, tandis que l’approche Zero Trust se concentre sur la restriction des accès et la vérification rigoureuse des connexions pour réduire la surface d’attaque, le Negative Trust cherche quant à lui à désorienter les attaquants pour mieux appréhender leur mentalité et leurs méthodes.
