L’approche Zero Trust est préconisée pour sécuriser les accès des utilisateurs, mais il est possible d’appliquer la même approche aux applications elles-mêmes. Une stratégie de sécurité défendue par WatchGuard qui a intégré l’approche “Zero Trust” au cœur de son offre EDR.
L’EDR est un outil de sécurité très pertinent pour sécuriser les postes clients, les serveurs d’une entreprise, mais peut aussi être une brique de sécurité extrêmement consommatrice de temps pour un RSSI. Un EDR génère énormément de télémétrie et va noyer le RSSI sous des tonnes d’informations. C’est à la fois une source de stress majeure pour un RSSI qui doit analyser une énorme masse d’alertes et qui ne peut jamais être certain de ne pas laisser passer une donnée réellement importante. Tous les process de monitoring que doit mettre en place le RSSI autour de l’EDR sont très chronophages. « Appliquer une approche Zero Trust au niveau de l’EDR, c’est-à-dire ne rien permettre par défaut à moins d’en avoir reçu l’autorisation est une solution efficace à ce déluge de données » explique Pascal Le Digol, Country Manager France chez WatchGuard.
Un EDR classique doit accumuler plusieurs jours de télémétrie sur le comportement des applications avant d’être pleinement opérationnel. C’est lors de cette phase d’apprentissage que l’EDR va pouvoir classer une application en tant que malware et la bloquer. « Cette approche laisse une fenêtre de vulnérabilité pendant laquelle l’application peut commettre des actions néfastes sur les postes, déposer un “0 Day” dormant, effectuer un mouvement latéral pour se diffuser » ajoute l’expert. L’approche prônée par WatchGuard allège la charge de travail du RSSI qui n’a plus à traiter des centaines de faux positifs chaque jour. En outre, “Zero Trust” n’est pas synonyme de blocages intempestifs pour les utilisateurs. WatchGuard a déjà classifié plus de 6 milliards de process et dès qu’un nouveau process est repéré sur l’ensemble de la base installée de l’éditeur, celui-ci est immédiatement analysé et classifié. Ainsi, aucun autre utilisateur ne verra ce process temporairement bloqué à sa première utilisation.
Autre atout de l’approche Zero Trust de WatchGuard, cette classification des process est permanente et tout changement de comportement soudain d’une application peut amener l’EDR à revoir sa classification, contrairement à de nombreux EDR qui fonctionnent sur un mode “One-Shot”, avec une classification fixe. Une approche dynamique va permettre de repérer plus facilement une application qui va brutalement changer de comportement, signe du déclenchement possible d’une attaque.
« Alléger la charge de travail du RSSI
qui n’a plus à traiter des centaines de faux positifs chaque jour. »
Avis d’expert
Pascal Le Digol,
Country Manager France chez WatchGuard
Adopter une approche Zero Trust pour les applications
« Adopter une approche Zero Trust pour les applications est une bonne pratique de sécurité qu’il faut être capable d’expliquer aux utilisateurs. En 2021, tous les collaborateurs peuvent comprendre que l’utilisation d’une nouvelle application peut être momentanément bloquée pour des raisons de sécurité, d’autant qu’il s’agit d’une procédure très rare. Celle-ci ne va affecter que le tout premier utilisateur d’une application au niveau mondial, et l’analyse de sécurité ne demande que quelques minutes.
C’est une approche que nous recommandons expressément mais celle-ci reste une option qui est paramétrable. Intégrer l’approche “Zero Trust” directement au cœur de l’EDR WatchGuard nous permet d’éliminer la fenêtre de vulnérabilité de l’EDR pendant laquelle un malware peut être actif alors que l’EDR est en phase d’apprentissage et ne l’a pas encore bloqué. Il s’agit d’une phase critique pendant laquelle un malware peut déjà causer des dommages dans le système d’information de l’entreprise avant que l’EDR ne réagisse. »
Pour en savoir plus sur WATCHGUARD, rendez-vous sur : www.watchguard.com
