Étendre le Zero Trust au navigateur Internet

La nouvelle vulnérabilité de l'entreprise décentralisée en matière de sécurité

L'Internet public est une source considérable de risques informatiques pour l'entreprise. Les collaborateurs qui utilisent Internet pour leur travail ou à des fins personnelles risquent de s'exposer aux attaques par phishing et aux logiciels malveillants. Ces menaces s'appuient sur des techniques d'ingénierie sociale et d'exploitation des vulnérabilités des navigateurs afin de dérober des informations sensibles ou d'exécuter du code malveillant sur les machines des utilisateurs.

Indépendamment des techniques employées, la majorité de ces attaques partagent le même objectif : accéder au réseau privé de l'entreprise.

Divers facteurs (la plupart issus de la pandémie de COVID-19) ont entraîné des pics d'activité des menaces basées sur le navigateur et conduit à une vulnérabilité accrue des entreprises face à ces menaces. Parmi ces facteurs figurent les suivants :

  • Utilisation par les pirates de la confusion liée à la pandémie afin d'inciter au téléchargement de logiciels malveillants.

  • Diminution liée au télétravail des frontières entre les sphères personnelles et professionnelles en matière d'utilisation d'Internet.

  • Utilisation d'appareils personnels non protégés ou faiblement sécurisés par les collaborateurs, en raison du développement du télétravail.

  • Accès à un plus grand nombre d'applications et de données par les collaborateurs via l'Internet public, plutôt que par l'intermédiaire d'un réseau d'entreprise sécurisé.

  • Utilisation d'outils d'accès à distance hétéroclites « de fortune », donnant à des appareils compromis un accès illimité aux réseaux d'entreprise.

Les protections de sécurité traditionnelles du périmètre de l'entreprise sont désormais obsolètes à l'égard de la manière dont l'activité se déroule aujourd'hui – dans le navigateur Internet.

Les attaques basées sur le navigateur évoluent

L'Internet a toujours représenté une source de risques informatiques. En outre, les schémas d'attaque ont évolué avec le temps, notamment dans le sillage de la COVID-19 et de la brusque hausse du télétravail qui en a résulté.

Les attaques par phishing montent en flèche

L'augmentation des attaques par phishing constitue l'un des changements récents les plus répandus dans le paysage des cybermenaces. 42 % des PME et 61 % des grandes entreprises ont constaté une augmentation des tentatives de phishing pendant les mesures de confinement. D'après l'Internet Crime Complaint Center du FBI (IC3, le centre des plaintes en matière de criminalité), le phishing a été le type de crime le plus couramment signalé lorsque le télétravail était à son apogée, avec deux fois plus de plaintes enregistrées par rapport à l'année précédente.

Les attaques par phishing sont courantes, car elles se montrent efficaces pour dérober des identifiants. Elles fonctionnent mieux dans un environnement d'incertitude, dans lequel les utilisateurs en quête d'informations se révéleront plus enclins à se faire piéger, comme lors des Jeux olympiques d'hiver 2018. La pandémie de COVID-19 crée un environnement idéal pour le phishing, car la population recherche des informations et des actualités liées au virus.

Les rançongiciels connaissent une forte croissance

Les logiciels malveillants sont des programmes qui infectent des ordinateurs et d'autres appareils connectés à Internet, voire des réseaux entiers. Une fois installés sur l'appareil ou le réseau visé, ces logiciels peuvent atteindre différents objectifs, du vol de données aux attaques par rançongiciels.

Ce type de programmes constitue une vaste catégorie en soi. De même, la popularité des diverses formes de logiciels malveillants augmente et diminue au fil du temps, au rythme de leurs évolutions. Toutefois, la menace générale qu'ils représentent persiste toujours. Les rançongiciels et les logiciels malveillants de minage de cryptomonnaie ont, par exemple, tendance à s'échanger l'un l'autre leur position dans le classement des vecteurs d'attaque les plus utilisés par les cybercriminels. En 2020, les attaques par rançongiciels ont connu une augmentation de 465 %, alors que les cybercriminels tentaient de tirer avantage de la pandémie.

Les logiciels malveillants sont souvent diffusés par l'intermédiaire du phishing ou de solutions d'accès à distance compromises, mais ils peuvent également être intégrés à un site web ouvertement malveillant, voire à un site compromis à l'insu de son propriétaire. Les entreprises doivent donc être préparées à se défendre contre les logiciels malveillants diffusés via les navigateurs Internet.

Les mesures de sécurité traditionnelles passent à côté des attaques récentes

Les passerelles web sécurisées (SWG) et les services de proxy web sont des solutions courantes aux risques informatiques liés à la navigation Internet pour les appareils distants. Le trafic est redirigé vers ces solutions, qui le surveillent et le filtrent afin de bloquer les tentatives de visite sur des sites malveillants ou suspects. Cette opération permet d'empêcher l'infection de l'appareil d'un collaborateur par du contenu malveillant.

Les SWG et les services de proxy web font une consommation fréquente d'informations permettant d'identifier les menaces ou les sites courants qui enfreignent les politiques définies par les administrateurs. Cette solution ne s'avère toutefois pas idéale. Le paysage des menaces Internet évolue constamment, à mesure que les pirates mettent au point de nouveaux sites web permettant de soutenir leurs nouvelles campagnes ou refondent leurs sites existants.

Ce constat implique que les entreprises doivent souvent faire face à des menaces inconnues ou de type zero-day, que les passerelles SWG détectent difficilement. Les administrateurs ont besoin d'autres moyens de bloquer des menaces dont ils n'ont pas encore conscience.

L'adoption de l'isolation de navigateur

Les limitations des passerelles SWG et des solutions de proxy web rendent impossible le blocage de chaque menace potentielle sur Internet. En l'absence de possibilité de se prémunir contre l'ensemble des attaques, la meilleure stratégie à adopter consiste à minimiser les risques potentiels que ces attaques font courir aux entreprises.

La technique d'isolation de navigateur a gagné en popularité, car elle permet d'isoler la session de navigation d'un utilisateur de son appareil, au lieu de la laisser se dérouler au sein de conteneurs fermés (souvent situés dans le Cloud) et automatiquement détruits à la fin de la session. En conséquence, même les attaques effectivement menées à bien par des menaces inconnues et non détectées ne peuvent réellement affecter l'appareil cible.

Toutefois, l'isolement de navigateur fait face à un ensemble de difficultés uniques qui limitent son adoption. Jusqu'à très récemment, tous les outils d'isolation de navigateur s'appuyaient sur l'une des méthodes imparfaites suivantes :

  • Diffusion par pixels : avec cette méthode, l'activité de navigation se déroule sur un serveur Cloud et un flux de ladite activité est diffusé sous forme de pixels vers l'appareil de l'utilisateur. Malheureusement, cette technique se révèle coûteuse en termes de puissance de calcul. Elle nécessite également une grande quantité de bande passante, et la latence ajoutée nuit aux applications interactives SaaS et Internet.

  • Élimination de code (Code-Stripping) : ici, le navigateur distant élimine les logiciels malveillants de l'expérience web et transmet du code « propre » à l'utilisateur final. Cette approche nuit toutefois fréquemment à l'expérience proposée par le site web et peut manquer les vulnérabilités de type zero-day.

  • Méthode locale : avec l'approche locale, la navigation se déroule sur une machine virtuelle locale et isolée du reste du système d'exploitation de l'appareil. Malheureusement, cette méthode ralentit les appareils, ne s'applique pas aux appareils mobiles et se révèle difficile à déployer à l'échelle de l'entreprise.

En raison des défis liés à l'utilisation de ces outils d'isolation de navigateur, les entreprises ont souvent limité l'adoption de la technologie à un sous-ensemble de collaborateurs ou à un ensemble de sites à haut risque. Cette manière d'opérer assure une protection partielle, mais elle laisse également d'importantes failles de sécurité.

Chaque employé d'une entreprise peut potentiellement se retrouver victime d'une attaque par logiciel malveillant, et les cybercriminels peuvent expressément s'en prendre aux collaborateurs non protégés par une solution d'isolation du navigateur. En outre, la limitation de l'isolation de navigateur à des sites spécifiques suppose que l'entreprise peut identifier avec précision chaque site qui s'avérerait source de risques potentiels sur Internet. En réalité, les logiciels malveillants peuvent être diffusés par l'intermédiaire de contenus « de confiance », tels que les fichiers partagés sur Google Docs ou OneDrive.

L'isolation de navigateur constitue une approche prometteuse en matière de sécurisation de l'accès Internet, mais les équipes chargées de l'innovation devaient encore parvenir à mettre au point une solution complète. L'extension de l'approche Zero Trust au navigateur Internet a changé la donne.

Isolation de navigateur Zero Trust

Autre approche par rapport aux technologies d'isolation de navigateur décrites ci-dessus, la stratégie d'isolation Zero Trust applique les principes du Zero Trust à l'ensemble de l'activité Internet des collaborateurs. Chaque session de navigation et chaque ligne de code web se voit ainsi traitée comme non fiable par défaut. De même, chaque utilisateur et chaque appareil accédant aux données d'une application web est considéré comme indigne de confiance par défaut.

Nous avons déjà établi que les services d'isolation de navigateur traditionnels rendaient ce niveau de rigueur impossible à tenir en pratique. Les méthodes employées se révèlent soit trop poussives pour être utilisées tout le temps, soit pas suffisamment précises pour arrêter efficacement les menaces, soit les deux.

Pour protéger chaque collaborateur de chaque menace en ligne, un service d'isolation de navigateur doit donc offrir les avantages suivants :

  • Une fiabilité élevée : les sites web modernes et les applications exécutées dans un navigateur peuvent s'avérer complexes et empêcher le fonctionnement de certaines solutions d'isolation des sessions de navigation. L'isolation de navigateur Zero Trust doit permettre aux utilisateurs de se rendre sur n'importe quel site et de bénéficier de la même expérience que celle proposée par un navigateur local.

  • Une latence minimale : les services de navigation à distance traditionnels sont lents et transmettent une version poussive des pages web à l'utilisateur. Une solution de navigation Zero Trust moderne doit présenter une latence minimale, tout en affichant un niveau élevé de performances et de réactivité.

  • Un bon rapport qualité-prix : les services de navigation Zero Trust offrent une efficacité maximale lorsqu'ils sont déployés de manière à couvrir l'ensemble des collaborateurs et des sites d'une entreprise. Ce type de déploiement nécessite une solution à la fois économique et évolutive.

  • Un contrôle précis : une solution d'isolation de navigateur doit offrir aux administrateurs un contrôle plus précis sur les données en cours d'utilisation et sur les activités se déroulant dans le navigateur, telles que l'impression, le copier/coller et le remplissage automatique de formulaires, afin de leur permettre de réduire encore les risques informatiques.

Il convient de garder à l'esprit de nombreuses conditions et stratégies au regard des meilleures pratiques lors du choix d'un prestataire d'isolation de navigateur Zero Trust. Les aspects essentiels de l'isolation de navigateur peuvent soutenir une mise en œuvre plus fructueuse, efficace et performante de la technologie :

  • Utilisation d'un réseau périphérique étendu : au lieu d'héberger l'isolation de navigateur au sein d'un nombre limité de datacenters dans le Cloud public, hébergez-les sur un réseau périphérique mondial proche des utilisateurs finaux, où qu'ils se trouvent, afin de minimiser la latence. Les services Cloudflare s'articulent autour d'un réseau couvrant plus de 250 villes et disposant d'une solution d'isolation de navigateur exécutée sur chaque serveur de chaque datacenter.

  • Diffuser uniquement des commandes de traçage : plutôt que d'essayer de nettoyer le code d'un site web, la solution d'isolation de navigateur doit envoyer des commandes de traçage légères aux appareils des utilisateurs finaux, afin de leur permettre de charger et d'interagir avec les sites de manière précise, sans chargement de code. C'est précisément l'approche suivie par Cloudflare avec sa technologie Network Vector Rendering (rendu réseau vectoriel).

  • Opter pour une technologie de navigateur native : les navigateurs à distance qui s'appuient sur une technologie déjà intégrée dans les applications courantes de navigation pour points de terminaison se montrent plus fiables et plus précis en matière de reconstruction des sites, quelle que soit leur forme. Les services Cloudflare sont compatibles avec ce type de technologie, notamment Chromium, une technologie de navigation largement utilisée à travers le monde, qui transmet des commandes de traçage légères plutôt que des flux de pixels ou du code déconstruit.

  • S'appuyer sur le Cloud Computing de nouvelle génération : évitez les services d'isolation de navigateur à distance hébergés sur un Cloud public, qui répercute les coûts du Cloud sur les utilisateurs et ajoute de la latence. Pensez également à mettre en œuvre des techniques d'informatique serverless permettant d'améliorer la virtualisation et la conteneurisation en éliminant l'orchestration et la gestion des ressources serveur sous-jacentes, afin de pouvoir utiliser plus efficacement ces dernières. Particulièrement puissantes, les fonctionnalités d'orchestration et de gestion des ressources serveur par Cloudflare permettent de réduire la latence ressentie par les utilisateurs finaux et doublent la vitesse de fonctionnement par rapport aux solutions d'isolation de navigateur traditionnelles.

Cloudflare s'appuie sur un énorme réseau mondial et une technologie d'isolation de navigateur brevetée pour proposer une expérience de navigation Zero Trust sans compromis sur les performances. Les entreprises peuvent ainsi découvrir la véritable valeur de l'isolation de navigateur.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Principales conclusions

Cet article vous permettra de comprendre les points suivants :

  • Comment le navigateur Internet augmente l'exposition aux cyberattaques

  • Les techniques utilisées par les pirates dans le navigateur

  • Les tendances récentes en termes de vecteurs d'attaque

  • Comment atténuer les risques grâce à l'isolation de navigateur Zero Trust

RESSOURCES ASSOCIÉES


Approfondir le sujet

Afin de sécuriser votre entreprise contre les menaces liées aux navigateurs, n'hésitez pas à consulter le livre blanc Les défis courants de l'isolation de navigateur et comment les surmonter.

Get the white paper

Bénéficiez d'un récapitulatif mensuel des tendances Internet les plus populaires !