Qu’est-ce qu’un navigateur Zero Trust ?

Navigation Web sécurisée

Ou Eshed Publié - 02 février 2023

Table des matières

Principes de sécurité Zero Trust
Pourquoi la navigation Zero Trust est-elle importante ?
Solutions de navigation sécurisées
Protégez votre navigation avec LayerX

Dans la recherche d’une efficacité opérationnelle améliorée, d’une mise sur le marché rapide et d’un strict respect des attentes des clients, la transformation numérique est le moteur de la quatrième révolution industrielle..

Tandis que les organisations et leurs consommateurs en récoltent les fruits, la transformation numérique a entraîné un changement fondamental au sein des secteurs et des effectifs. La main-d'œuvre d'aujourd'hui de plus en plus hybride et l'intégration à grande échelle du cloud ont placé le navigateur dans une position de première importance : ce qui n'était autrefois qu'un simple mécanisme d'affichage de texte à l'écran est désormais une passerelle riche en médias entre les utilisateurs finaux et les profondeurs du monde. toile large.

Dès les premiers jours de la transformation numérique, il est rapidement devenu évident qu’une nouvelle forme de cybersécurité était nécessaire puisque les organisations luttaient contre l’éclatement soudain du périmètre traditionnel. Cette disparition du périmètre a ouvert la voie à une nouvelle forme de sécurité. Au lieu de supposer la fiabilité de réseaux entiers, la confiance zéro utilise une philosophie générale selon laquelle il ne faut jamais faire confiance – toujours vérifier. Cette approche est censée s’appliquer à chaque niveau d’interaction de l’utilisateur final, éliminant toute forme de confiance implicite que les cybercriminels pourraient autrement détourner.

Cependant, malgré l’adoption généralisée du modèle Zero Trust dans les entreprises axées sur le numérique, une faiblesse majeure est apparue dans sa mise en œuvre. La négligence généralisée du rôle crucial du navigateur dans l'espace de travail moderne a conduit à un paysage de menaces qui a largement dépassé sécurité du navigateur traditionnel.

Le navigateur est un point d’interaction totalement unique entre les environnements sur site, les ressources de l’entreprise et les serveurs tiers totalement non vérifiés. Avec une protection inadéquate du navigateur, les utilisateurs finaux sont obligés de supposer que les serveurs Web tiers sont entièrement sûrs. Lorsque ce navigateur demande une page Web, on considère simplement que le serveur d’hébergement est inoffensif – cette simple surveillance a contribué à générer des profits liés à la cybercriminalité bien supérieurs à ceux du commerce mondial de la drogue.

La protection traditionnelle des navigateurs place les utilisateurs dans une position perdante. Plutôt que d'employer une sécurité aussi simple que la philosophie « zéro confiance », les organisations doivent s'appuyer sur des piles d'outils complexes et tortueuses qui entravent l'expérience utilisateur et ralentissent les équipes de sécurité.

Un navigateur Zero Trust favorise une évaluation dynamique et contextuelle des risques, permettant aux utilisateurs et aux équipes de sécurité de profiter des avantages d'une productivité plus élevée avec un risque moindre.

BOUTON [En savoir plus sur la plateforme de protection du navigateur LayerX]

Principes de sécurité Zero Trust

Le zéro confiance est à son apogée. Le dernier rapport « State of Zero Trust Security » du fournisseur de solutions IAM Okta détaille comment plus de la moitié des leaders du marché subissent actuellement une avancée majeure vers le zéro confiance. Cela représente une augmentation importante par rapport aux 24 % du rapport précédent publié un an plus tôt, et un progrès significatif depuis le tout début.

En 2004, l’approche de sécurité basée sur le périmètre montrait déjà des fissures ; ce qui était autrefois la position de sécurité par défaut avait déjà commencé à grincer sous le poids de la technologie cloud. Près de deux décennies plus tard, les organisations commencent à définir leur sécurité par le concept initialement baptisé « dépérimétrisation ». L'idée initiale a été définie par ses multiples niveaux de contrôles de sécurité, qui comprenaient l'authentification et le cryptage. Aujourd’hui, cela a évolué vers 5 principes clés de sécurité Zero Trust :

#1. Moindre privilège

Le premier et le plus déterminant des éléments du Zero Trust est le principe du moindre privilège. L'accès des utilisateurs est limité à un modèle d'accès juste suffisant, dans lequel les employés ne bénéficient que de l'accès dont ils ont besoin dans le cadre de leurs opérations quotidiennes. Vient ensuite l'accès juste à temps, qui fournit l'accès en cas de besoin, puis le désapprovisionne rapidement peu de temps après. Ensemble, cela minimise l’exposition des utilisateurs aux parties sensibles d’un réseau.

#2. Contrôle d'accès aux appareils

Alors que le moindre privilège définit l'accès des utilisateurs, la sécurité réseau Zero Trust exige un degré strict de visibilité sur ses appareils connectés. En un mot, le contrôle d'accès aux appareils cherche à surveiller le nombre d'appareils connectés, leur légitimité et leur état d'authentification.

#3. Mettre fin à chaque connexion

Chaque connexion individuelle représente une autre chance pour les attaquants de s'infiltrer sans être détectés. Les solutions Zero Trust adhèrent non seulement à une approche allégée des connexions sortantes, mais se concentrent également sur les composants granulaires de chaque lien sortant et entrant. L'architecture en ligne permet l'inspection et la vérification du trafic, même chiffré, en temps réel, protégeant ainsi les utilisateurs finaux contre les comptes internes piratés.

#4. Politiques basées sur le contexte

Lors de l’évaluation d’une intention malveillante dans la vie réelle, une grande partie du processus judiciaire consiste à examiner les moindres détails. Les politiques de la vieille école fonctionnaient selon un système « les plus recherchés », les menaces établies étant identifiées via des signatures – les nouveaux cybercriminels n'étaient pas contrôlés. L’identification et la prévention fiables d’une attaque nécessitent une vue entièrement contextuelle. Zero Trust vise à établir cela via des politiques adaptatives : l'identité de l'utilisateur, sa localisation et son appareil sont tous mesurés par rapport au contenu ou à l'application demandée.

#5. Réduire la surface d'attaque

Suivant une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources, plutôt qu'à des réseaux plus vastes. Cette architecture directe permet de réduire la surface à travers laquelle les attaquants pourraient se déplacer latéralement, tout en empêchant les logiciels malveillants de prendre pied dans d'autres ressources.

Le total cumulé des 5 principes contribue à une surface d’attaque considérablement rationalisée.

Pourquoi la navigation Zero Trust est-elle importante ?

Les solutions Zero Trust ont fait d’énormes progrès dans la sécurisation de l’architecture des applications, des API et des processus d’authentification. Cependant, l’une des pierres angulaires les plus importantes de la productivité des employés d’aujourd’hui est le navigateur Web. Les employés passent la majeure partie de leur temps de travail à rechercher et à partager des idées via des navigateurs Web, mais cela reste souvent négligé par les initiatives Zero Trust plus larges. Le mécanisme de pilotage de la navigation Web est intrinsèquement risqué, car l'utilisateur final communique et partage des informations avec un serveur externe entièrement non vérifié.

La navigation sur Internet est devenue un élément essentiel de la productivité, principalement grâce aux récents changements à grande échelle dans les habitudes des employés. À mesure que les entreprises se mondialisent de plus en plus, les équipes ont rapidement changé en nombre et en localisation géographique. Même si cela permet une innovation sans précédent et un partage d’idées avec moins de frontières, cela a étendu le périmètre de sécurité jusqu’au point de rupture.

Cela est devenu immédiatement évident dans les statistiques sur la cybercriminalité, avec une montée en flèche des attaques de phishing. Durant les différents confinements et alertes Covid, un total de 61 % des grandes organisations et 42 % de toutes les petites, connaîtrait une augmentation notable de celui-ci. L’Internet Crime Complaint Center (IC3) du FBI a enregistré deux fois plus de délits de phishing que l’année précédente, faisant soudainement des attaques d’ingénierie sociale l’une des plus courantes – et des plus rentables – de ce type. Le navigateur Web est un outil particulièrement utile pour les attaques de phishing grâce à la myriade de possibilités permettant de tromper un employé sans méfiance. Par exemple, 2022 a vu la montée en puissance de l’attaque Browser-in-the-Browser. Ici, une page Web est utilisée pour imiter le site Web et le contenu d'un écran de connexion ou de paiement légitime. En simulant simplement un site authentique, même les employés soucieux de la sécurité peuvent être amenés à partager des secrets d'entreprise.

En tentant de concocter un travail adéquat à partir d’outils de productivité à domicile, de nombreuses entreprises ont négligé certains des piliers fondamentaux du Zero Trust. Par exemple, certains outils d'accès à distance permettent à un appareil compromis un accès sans précédent au réseau de l'entreprise, violant ainsi la politique du moindre privilège. Ce vecteur d'attaque a permis un incident qui a interrompu la moitié des approvisionnements en carburant de l'est des États-Unis, où un seul compte VPN compromis a permis au ransomware de perturber les opérations. Les technologies de sécurité traditionnelles – déjà mises à rude épreuve avant la pandémie – sont soudainement devenues largement inadaptées, car les employés isolés ne bénéficiaient plus de la protection du réseau local de l'organisation.

Solutions de navigation sécurisées

Les tentatives actuelles visant à réduire les risques liés à la navigation sur l’Internet public peuvent être classées en trois approches différentes.

Extension de sécurité du navigateur

Contrairement à certaines techniques d’isolation de navigation, les extensions de navigateur offrent une compatibilité totale avec l’écosystème Web et celui de l’entreprise. En utilisant le navigateur existant, les utilisateurs bénéficient également d'une expérience de navigation sans pratiquement aucun impact négatif sur les temps de chargement. Dans le paysage plus large de la complexité des solutions de sécurité, gérer des dizaines de plugins afin d’établir une protection uniforme peut s’avérer un véritable casse-tête. Toutes les extensions ne sont pas conçues selon les mêmes normes, et un petit pourcentage risque d’être mal conçu, ce qui gonfle encore davantage la surface d’attaque.

Ce n'est que récemment que les extensions de sécurité des navigateurs ont commencé à libérer tout leur potentiel. Les extensions de sécurité cohérentes reconnaissent qu'en plaçant l'authentification et les restrictions d'accès plus près de l'appareil de l'utilisateur final, il devient possible pour les organisations d'ajouter une autre couche de sécurité. En autorisant uniquement les navigateurs et applications approuvés à accéder aux ressources internes, les informations d’identification compromises deviennent une menace bien plus faible. De plus, l’analyse des menaces basée sur les extensions peut approfondir chaque composant du site, l’analyse basée sur le navigateur offrant une protection sans latence. Enfin, l’accent mis sur une intégration et une désintégration rapides permet une sécurité du navigateur qui suit le rythme de l’ensemble de votre organisation, soutenant une position de sécurité qui ne trébuche jamais.

Isolation du navigateur

L'isolation du navigateur protège l'utilisateur final et leur appareil en faisant abstraction du processus de navigation. Par exemple, l'isolation du navigateur à distance offre un serveur cloud tiers sécurisé pour l'exécution réelle du contenu des pages Web. Celui-ci est ensuite renvoyé au propre appareil de l'utilisateur sous forme d'interface graphique. Cette isolation physique permet à l'utilisateur de continuer à naviguer sur Internet comme il le ferait habituellement, tout en empêchant activement les logiciels malveillants et les processus de téléchargement furtifs d'atteindre l'appareil lui-même.

Semblable à un navigateur virtuel, l’isolation de la navigation à distance contient toute menace au sein d’une infrastructure cloud tierce. Un inconvénient majeur de ce processus est la latence introduite tout au long du processus de navigation. Les temps de chargement lents sont un puissant moyen de dissuasion, allant même jusqu’à inciter des groupes d’utilisateurs finaux à choisir de renoncer complètement à la protection.

Navigateur d'entreprise

Les navigateurs d'entreprise sont des outils dédiés à la navigation sur le Web ; au lieu des navigateurs gratuits proposés par Google, Mozilla et Microsoft, ces navigateurs sont entièrement contrôlés et gérés par l'organisation elle-même. Ces solutions offrent une visibilité quasi parfaite sur les appareils et les habitudes de navigation de chaque employé, offrant ainsi des informations vitales en temps réel sur les actions prises avant et après la violation. L'authentification peut être mise en œuvre plus près du processus de navigation, avec des degrés de sécurité plus stricts disponibles.

Tandis que un navigateur d'entreprise semble prometteur, ils ne sont souvent pas aussi sécurisés que les navigateurs commerciaux, qui bénéficient de processus automatisés de mise à jour et de correctifs. Les navigateurs d'entreprise, en revanche, souffrent d'un processus de correction des vulnérabilités plus long. Une autre préoccupation à laquelle sont confrontées les organisations est le blocage généralisé des fournisseurs. Cela crée une dépendance à l'échelle de l'entreprise vis-à-vis d'un seul fournisseur et, par conséquent, rend difficile le maintien de l'intégralité de toutes les exigences à partir d'un navigateur sécurisé. En tant que telle, la perte et la complexité des données peuvent représenter des problèmes importants lors de la transition entre les fournisseurs.

Protégez votre navigation avec LayerX

La raison de la portée toujours insuffisante des solutions actuelles est la tour vacillante des approches de sécurité sur lesquelles repose la sécurité des navigateurs. Les concepts de confiance zéro ont été introduits dans le paysage plus large de la sécurité bien avant que le navigateur ne devienne la force dominante de la productivité et de l'innovation. La réalité des espaces de travail hybrides et sans périmètre d'aujourd'hui souligne l'importance d'une solution de sécurité véritablement transparente. Cela a placé les informations et les ressources de l’entreprise hors du contrôle direct de toute équipe informatique et de sécurité interne. En conséquence, les entreprises ont aujourd’hui besoin d’une protection de navigateur complète et spécialement conçue.

Dans une première dans l'industrie, LayerX a placé l'utilisateur à l'avant-garde de la protection du navigateur. Sans endommager l'expérience utilisateur, l'approche multicouche de LayerX en matière de protection du navigateur offre une visibilité ultra-granulaire en temps réel sur les activités et les risques des utilisateurs. Avec l'extension déployée sur chaque instance du navigateur, toutes les destinations de sites non corporatifs bénéficient d'une transparence totale ; il permet également aux appareils non gérés de bénéficier d'un accès entièrement sécurisé aux données de l'entreprise. Les capteurs de l'extension rassemblent tous les événements de navigation, les fonctionnalités, le comportement des utilisateurs et l'activité des pages Web. Dans le même temps, une fonction d’application se trouve juste en dessous du capteur. Cela lance et termine les actions du navigateur, en injectant du code dans une page Web active afin d'en déterminer le risque. Cela n'a aucun impact perceptible sur l'expérience de l'utilisateur final ou sur l'activité de navigation légitime, tout en offrant une protection dynamique à proximité du point final.

Alors que l'extension du navigateur est la plus proche de l'utilisateur final, le moteur Plexus pilote l'analyse approfondie de la session. À la fois intégré au navigateur et basé sur le cloud, Plexus prend en compte toutes les fonctionnalités contextuelles pour déterminer le risque de phishing, d'insertion de logiciels malveillants, etc. Surveillant les modifications du navigateur, les actions des utilisateurs et le comportement des pages, toutes ces données sont combinées avec la base de données LayerX Threat Intel. Le contexte de risque complet de chaque événement de navigation est désormais rendu visible – et exécutoire.

De là, toutes les données sont transmises à la console de gestion. Cette interface utilisateur permet la gestion et le suivi des politiques. C'est cette rigueur granulaire à macro qui permet à LayerX de se protéger même en cas de violation de compte et de vol de cookies.

Ou Eshed

Or Eshed est co-fondateur et PDG de la plateforme de sécurité des navigateurs LayerX, avec plus d'une décennie d'expérience dans la cybersécurité, l'intelligence artificielle et la guerre de l'information.

Documentation associée