bilbytech.com

For credentials, these are the new Seven Commandments for zero trust Pour les identifiants, voici les sept nouvelles commandements pour la confiance zéro :

For credentials, these are the new Seven Commandments for zero trust Pour les identifiants, voici les sept nouvelles commandements pour la confiance zéro :

Security
17 juillet 2025

image

Image : weerapat1003/Adobe Stock

La société de sécurité des identifiants, Beyond Identity, a lancé l’initiative Zero Trust Authentication (Authentification à confiance zéro) pour les organisations afin de rendre leurs identifiants résistants au piratage, avec le soutien de grandes entreprises.

L’authentification à confiance zéro (Zero trust) est un cadre qui sécurise l’infrastructure et les données, en partie en éliminant le périmètre arbitraire et en exigeant une authentification de tous les utilisateurs et points d’extrémité, à l’intérieur comme à l’extérieur. Cela inclut donc les identifiants.

Dans le but de codifier la manière dont l’informatique doit l’appliquer dans la pratique, des entreprises, notamment Zero Scaler, Optiv, Palo Alto Networks, Crowdstrike et Ping Identity, soutiennent une initiative dirigée par la société de sécurité Beyond Identity visant à établir une architecture à confiance zéro pour immuniser les comptes et les identifiants d’entreprise contre le phishing et les rançongiciels, parmi autres menaces.

L’entreprise a organisé un lancement virtuel le 15 mars 2023 à New York pour annoncer le programme, qui vise à résoudre les faiblesses en matière de sécurité, les mots de passe et l’authentification multifacteur (MFA) qui peuvent permettre des attaques telles que celle qui a conduit au piratage du ordinateur portable d’un ingénieur LastPass en 2022.

VOIR : Politique de sécurité des appareils mobiles (TechRepublic Premium)

« Fondamentalement, nous parlons d’authentification, mais d’une authentification qui atteint le niveau de confiance zéro », a déclaré Patrick McBride, directeur marketing chez Beyond Identity. « Parce que tant de protocoles d’authentification sont facilement contournés – ce ne sont même pas un obstacle. »

Aller à :

  • Protocoles sans mot de passe, résistants au phishing
  • Comment obtenir des identifiants sécurisés
  • Au-delà des mots de passe et de l’authentification multifacteur
  • Menaces dans le monde réel

Protocoles sans mot de passe, résistants au phishing, parmi les mesures ZTA

L’entreprise a présenté un ensemble de mesures que les organisations peuvent mettre en œuvre pour renforcer leurs défenses et isoler les points d’extrémité contre les mouvements latéraux :

  • Sans mot de passe – Pas d’utilisation de mots de passe ou d’autres secrets partagés, car ils peuvent facilement être obtenus auprès des utilisateurs, capturés sur les réseaux ou piratés à partir de bases de données.
  • Résistant au phishing – Pas d’opportunité d’obtenir des codes, des liens magiques ou d’autres facteurs d’authentification par phishing, d’attaques de l’homme du milieu ou d’autres attaques.
  • Capable de valider les appareils des utilisateurs – Capable de s’assurer que les appareils demandeurs sont liés à un utilisateur et autorisés à accéder aux informations d’actifs et aux applications.
  • Capable d’évaluer la posture de sécurité des appareils – Capable de déterminer si les appareils sont conformes aux politiques de sécurité en vérifiant que les paramètres de sécurité appropriés sont activés et que les logiciels de sécurité fonctionnent activement.
  • Capable d’analyser de nombreux types de signaux de risque – Capable de consommer et d’analyser des données provenant des points d’extrémité et des outils de gestion de la sécurité et de l’informatique.
  • Évaluation continue des risques – Capable d’évaluer les risques tout au long d’une session plutôt que de s’appuyer sur une authentification unique.
  • Intégré à l’infrastructure de sécurité – Intégration avec une variété d’outils dans l’infrastructure de sécurité pour améliorer la détection des risques, accélérer les réponses aux comportements suspects et améliorer les rapports d’audit et de conformité.

Comment obtenir des identifiants sécurisés

McBride a déclaré que pour établir une confiance élevée dans l’identité de l’utilisateur, une authentification multifacteur sans mot de passe et résistante au phishing est essentielle, par exemple, une clé passkey FIDO2 : une clé passkey FIDO2.

Basé sur les normes d’authentification FIDO et utilisant de paires publiques/privées asymétriques, les identifiants de connexion FIDO2 sont uniques à chaque site web et, comme les clés passkeys biométriques, ne quittent jamais l’appareil de l’utilisateur et ne sont jamais stockés sur un serveur. « Cela donne également une résistance au phishing. Je n’envoie rien sur le réseau qui puisse être utilisé par un pirate », a ajouté McBride (Figure A).

Figure A

image

Image : Beyond Identity. Vue continue de l’« engine de politique » de Beyond Identity

Chris Cummings, VP des produits et des solutions chez Beyond Identity, a expliqué que la surveillance continue est essentielle à la sécurité. Il a déclaré que l’engine de politique de Beyond Identity reçoit des signaux et envoie des instructions pour authentifier ou non authentifier l’authentification unique Okta, ou pour prendre des mesures sur un appareil spécifique (par exemple, le désactiver).

Jay Bretzmann, recherche VP chez IDC, a ajouté : « La vérification continue de l’identité – utilisateur et appareils – est essentielle au respect de la promesse de la confiance zéro. »

Chase Cunningham, chief strategy officer chez Ericom Software, a appuyé l’initiative dans un communiqué. 

« Fournir une vérification continue de l’identité – utilisateur et appareils – est essentiel pour respecter la promesse de la confiance zéro. », a-t-il déclaré.

« Leveraging signals from security infrastructure in near real-time is instrumental in raising the security standard and capitalizing on existing security infrastructure investments in EDR and SASE tools. », a déclaré.

image

Cybersecurity Insider Newsletter

Strengthen your organization’s IT security defenses by keeping abreast of the latest cybersecurity news, solutions, and best practices.

Delivered Tuesdays and Thursdays Sign up today </div

Auteur
Henri
Rédacteur invité expert tech.

Articles liés

Louvre : dix ans de failles informatiques révélées après le cambriolage d'octobre

Louvre : dix ans de failles informatiques révélées après le cambriolage d'octobre

Un cambriolage qui dépasse la vitrine Le cambriolage d'octobre dernier n'a pas seulement vidé une vitrine : il a mis en lumière une dizaine d'années de négligences en matière de cybersécurité au sein du plus grand musée du monde. Derriere les chefs-d'oeuvre, l'infrastructure de protection apparaissait largement obsolette et vulnérable. Des mots de passe d'une […]

Security
Chrome : mise à jour urgente corrige cinq failles, dont trois critiques

Chrome : mise à jour urgente corrige cinq failles, dont trois critiques

Chrome : mise à jour urgente corrige cinq failles, dont trois critiques Google a publié une mise a jour urgente de Chrome pour corriger cinq vulnérabilites decouvertes dans le code du navigateur. Sans correctif, ces failles peuvent permettre l'execution de code a distance si un internaute visite une page web piegee. Trois vulnerabilites critique Parmi […]

Security