Le stockage de vos mots de passe dans Google Sheets présente plusieurs risques, notamment l'absence de chiffrement de bout en bout par défaut et de capacités
Mis à jour le 10 février 2023.
La sécurité des mots de passe est essentielle pour prévenir les cyberattaques. Il est important de trouver un gestionnaire de mot de passe qui permette au modèle de sécurité Zero-Trust d’atténuer les risques de violations de données à partir de comptes d’utilisateur compromis.
Voici les détails de ce cadre de sécurité et comment Keeper aide à répondre aux exigences de conformité Zero-Trust.
Qu’est-ce que le modèle de sécurité Zero-Trust?
Zero-Trust est un cadre de cyber sécurité qui indique qu’aucun utilisateur ou application n’est digne de confiance par défaut. L’approche Zero-Trust part du principe que chaque utilisateur et appareil pourrait être compromis et ne fait confiance automatiquement à aucun utilisateur ou appareil du réseau de l’organisation. Tout le monde, humain ou machine, doit être vérifié avant d’accéder au réseau.
En quoi l’approche Zero-Trust renforce la sécurité des mots de passe
La sécurité des mots de passe est fondamentale quand il est question de Zero-Trust.
Selon le rapport 2022 ForgeRock Consumer Identity Breach, les cyberattaques impliquant des noms d’utilisateur et des mots de passe ont augmenté de 35 % l’année précédente, ce qui a entraîné plus de deux milliards de registres compromis rien qu’aux États-Unis. L’accès non autorisé était une fois de plus la méthode d’attaque la plus courante, avec 50% des violations signalées.
La sécurisation des logins des employés grâce à l’utilisation d’un gestionnaire de mots de passe est une étape vers la mise en œuvre d’un modèle Zero-Trust capable de prévenir et d’atténuer les cyberattaques. L’approche Zero-Trust vise la cause principale des cyberattaques : les identifiants volés et faibles. Aux États-Unis, entre 2020 et 2022, le coût moyen d’une violation de données a augmenté de 16% pour atteindre 9,5 millions de dollars, ce qui fait des États-Unis le pays le plus cher au monde lorsqu’il s’agit de se remettre d’une violation de données. Les entreprises peuvent protéger leurs données sensibles et épargner de l’argent à long terme en mettant en œuvre une approche Zero-Trust.
L’importance du cadre Zero-Trust
Le cadre Zero-Trust améliore la conformité et empêche les cyberattaques causées par des comptes d’utilisateur compromis et des appareils volés. Les organisations sont en mesure de prévenir les cyberattaques en prenant les mesures nécessaires pour vérifier chaque utilisateur et appareil avant de leur permettre d’accéder au réseau.
Selon le rapport de Microsoft sur l’adoption de l’approche Zero-Trust, 96% des décideurs en matière de sécurité déclarent que le cadre Zero-Trust est essentiel à la réussite de leur organisation. Le modèle a été fortement adopté ces dernières années et ne cesse de croître. Parmi les raisons qui poussent les organisations à choisir une approche Zero-Trust, on note:
- Une sécurité et une flexibilité accrues en matière de conformité
- Rapidité de la détection des cybermenaces et des mesures correctives
- La simplicité et la disponibilité des analyses de sécurité
Quels sont les principaux principes Zero-Trust?
Une solution Zero-Trust doit inclure plusieurs fonctions pour grantir son efficacité.
1. Surveillance et validation
«Ne jamais faire confiance, toujours vérifier» est une expression courante utilisée pour décrire la sécurité Zero-Trust. Le modèle Zero-Trust suppose qu’une violation existe déjà et traite tout le monde comme une menace potentielle, ce qui entraîne une surveillance et une vérification permanentes. Pour que le modèle fonctionne, il est essentiel de garder régulièrement une trace de l’activité et d’enregistrer tout ce qui est suspect ou malveillant.
En surveillant en permanence les systèmes et en mettant en œuvre les outils appropriés, les administrateurs informatiques et de sécurité peuvent plus facilement reconnaître la différence entre une connexion par un employé légitime et un compte compromis.
2. Principe du moindre privilège (PoLP)
Le principe du moindre privilège (PoLP) est une bonne pratique en matière de cyber sécurité, surtout lorsqu’il s’agit de paramétrer un accès à privilèges aux informations et aux ressources. Selon ce principe, les administrateurs limitent l’accès et les autorisations des utilisateurs aux niveaux minimaux requis pour exécuter leurs fonctions.
Par exemple, une entreprise peut ne donner accès à des unités de stockage et des informations spécifiques qu’aux équipes appropriées. Selon le principe du moindre privilège, seul:
- Le service comptable aurait accès aux bilans financiers de l’entreprise
- Le service marketing possèderait des identifiants pour accéder aux comptes de réseaux sociaux de l’entreprise
- Le service des ressources humaines aurait accès aux dossiers et aux détails des employés
Au lieu de donner à chaque employé un accès complet au réseau de l’organisation, il ou elle n’a accès qu’à ce qui lui est nécessaire. Si le compte d’un employé est compromis, l’accès du cybercriminel est limité à l’accès accordé à cet utilisateur.
3. Authentification multifacteur (MFA)
L’authentification multifacteur est une pratique d’authentification qui consiste à accorder à un utilisateur l’accès à des sites Web, des applications et des services après que celui-ci ait fourni au moins un facteur de vérification supplémentaire pour valider son identité. L’authentification multifacteur est généralement mise en place après qu’un utilisateur a ouvert un compte sur un site ou une application. En plus de se connecter au compte, le titulaire peut être tenu:
- D’utiliser une application d’authentification sur un appareil mobile enregistré pour valider l’ouverture de session
- De saisir un code à 6 chiffres envoyé à l’adresse e-mail de l’utilisateur ou par SMS
- De répondre à des questions de sécurité personnelles spécifiques à l’utilisateur
Les piliers fondamentaux du cadre Zero-Trust et comment Keeper s’y conforme
Les cinq piliers du cadre Zero-Trust sont Identité, Appareil, Réseau/environnement, Charge de travail de l’application et Données. Voici comment Keeper couvre chacun d’eux:
1. Pilier Identité
Keeper’s solution supports the identity pillar with a zero-knowledge authentication and authorization model. Identities can be entirely managed within Keeper. Our platform is capable of full integration into any existing zero-trust identity provider. Keeper’s security model supports several advanced authentication methods, including continuous validation at the vault, device and record level and real-time machine learning analysis.
2. Pilier Appareil
La solution de Keeper prend en charge le pilier Appareil grâce à une surveillance permanente de la sécurité de l’appareil, des commandes d’accès et une validation basées sur l’appareil et un accès aux données. Keeper fonctionne avec les outils de gestion des appareils existants, tels que les politiques d’accès conditionnel d’Azure. Les informations stockées sur notre plateforme sont chiffrées et déchiffrées localement, au niveau de l’appareil. La technologie de chiffrement sur les courbes elliptiques (EC) est utilisée au niveau de l’appareil pour protéger les données et permettre le modèle Zero-Trust.
3. Pilier Réseau/environnement
La solution de Keeper prend en charge le pilier Réseau/environnement grâce à des micro-périmètres d’entrée/de sortie entièrement distribués, une protection contre les menaces grâce à l’apprentissage automatique, un chiffrement Zero-Knowledge et des commandes d’accès au niveau des registres. Les informations sont chiffrées au repos à l’aide du chiffrement AES 256 bits au niveau des enregistrements et du chiffrement EC au niveau de l’appareil. La communication réseau entre le Keeper Vault de l’appareil et le cloud Keeper est protégée avec TLS 1.3, ainsi que des couches supplémentaires de chiffrement au niveau de la transmission pour se protéger de plusieurs types d’attaques, tels que les attaques Man in the Middle (MITM), par force brute et par énumération.
4. Pilier Charge de travail de l’application
La solution de Keeper optimise le pilier Charge de travail de l’application: l’accès est autorisé en continu et l’intégration au flux de travail de l’application est forte. Keeper est accessible par défaut sur Internet sans avoir à utiliser une connexion VPN. Les administrateurs peuvent gérer l’accessibilité des rôles des utilisateurs grâce aux stratégies de gestion des accès.
Les capacités ARAM (module de reporting et d’alertes avancés) de Keeper fournissent aux agences des données de télémétrie couvrant des centaines de types d’événements pouvant déclencher des alertes en temps réel ou d’autres actions qui dépendent des menaces.
5. Pilier Données
La solution de Keeper prend en charge le pilier Données grâce au chiffrement Zero-Knowledge. Zero-Knowledge est un cadre qui garantit les plus hauts niveaux de confidentialité et de sécurité. Le chiffrement et le déchiffrement ont lieu sur l’appareil de chaque utilisateur. En combinant la cryptographie AES 256 bits et la cryptographie sur les courbes elliptiques, Keeper garantit que les informations de nos utilisateurs sont en sécurité à tous les niveaux. Rendez-vous sur notre portail de documentation pour en savoir plus sur l’intégralité de notre modèle de chiffrement complet.
Comment Keeper prend en charge le cadre Zero-Trust et le chiffrement Zero-Knowledge
Keeper est un gestionnaire de mot de passe, un gestionnaire de secrets, un Privileged Access Manager et une passerelle de bureau à distance Zero-Knowledge et Zero-Trust. Toutes les informations stockées dans Keeper ne sont accessibles que par l’utilisateur final. Sa plateforme permet un contrôle total des pratiques de mot de passe des employés. Les administrateurs informatiques peuvent gérer l’utilisation des mots de passe dans une organisation et mettre en œuvre des commandes d’accès basées sur les rôles.
Pour les secrets d’entreprise, il existe Keeper Secrets Manager, une solution Zero-Trust et Zero-Knowledge basée sur le cloud, pour sécuriser les secrets d’entreprise, tels que:
- Les clés API
- Les mots de passe de base de données
- Les clés d’accès
- Les certificats
- Tout autre type de données confidentielles
Keeper Connection Manager fournit aux équipes DevOps et informatiques un accès Zero-Trust instantané à l’infrastructure. Cette passerelle de bureau à distance sans agent peut être installée dans n’importe quel environnement sur site ou cloud. Les organisations choisissent Keeper Connection Manager pour:
- Son interface intuitive et facile à utiliser
- Son service client réactif
- Son installation rapide et transparente
KeeperPAM est une solution de gestion des accès à privilèges (PAM) de nouvelle génération qui intègre les mots de passe, les secrets et la gestion des accès à privilèges de l’entreprise, le tout dans une plateforme cloud-based unifiée Zero-Knowledge et Zero-Trust.