Comme de nombreuses Organizations, nous collaborons avec des fournisseurs tiers pour renforcer nos capacités métier. Cependant, les tiers ne fournissent pas nécessairement les mêmes standards et protocoles de sécurité. Cela fait d'eux une cible de choix pour les attaquants, qui peuvent les considérer comme le moyen le plus simple de pénétrer au cœur de Organizations.
Comme ma collègue Jen Waugh l'a écrit dans son récent blog décrivant comment Okta encourage une culture de la sécurité, les données qu'Okta détient — les nôtres et celles de nos clients et partenaires — et l'importance de nos produits font de nous une cible pour les cyberattaquants.
Par proximité, cela signifie que la cible est également sur le dos de notre personnel élargi : prestataires, consultants, fournisseurs, fournisseurs de services, entreprises acquises et partenaires ayant un accès physique ou logique à nos systèmes.
Les cybercriminels peuvent percevoir ce groupe (pour simplifier, je parlerai indifféremment de « prestataires », de « tiers » ou de « main-d'œuvre élargie ») comme une faiblesse comparative dans notre surface d'attaque globale. Une partie de mon travail consiste à m'assurer que nos adversaires se trompent dans cette hypothèse en sécurisant notre main-d'œuvre élargie avec les mêmes protections que celles en place pour nos propres employés.
En fait, c’est le TL;DR de ce billet : je recommande à chaque Organizations d’appliquer les mêmes contrôles stricts à l’ensemble de ses effectifs, tant internes qu’externes. Bien sûr, la définition de cet objectif n’est que la première étape, alors je vais partager quelques façons dont nous, chez Okta, avons travaillé pour l’atteindre.
Avant d'entrer dans ces détails, permettez-moi de préciser que chaque Organizations devrait également mettre en œuvre un programme de gestion des risques chez les tiers afin de conduire un processus complet de diligence raisonnable lors de la sélection et de la surveillance des fournisseurs de services tiers. Ce sujet pourrait faire l'objet d'un article entier, mais je me contenterai de mentionner ici qu'un tel programme devrait inclure :
- Évaluation des contrôles de sécurité des informations des tiers
- Assurance contractuelle pour les responsabilités, les contrôles et le reporting de sécurité des tiers
Examinons de plus près comment Okta sécurise notre personnel étendu.
Appareils renforcés et gérés, sans exception
L'une des erreurs de sécurité les plus graves et (malheureusement) les plus courantes que commettent les Organizations est d'autoriser des tiers à accéder aux systèmes internes à partir de terminaux qui ne sont ni gérés ni verrouillés.
Il convient de souligner que même les entreprises dotées de politiques strictes en matière de terminaux peuvent être tentées de faire des exceptions, surtout pour des projets urgents avec de nouveaux partenaires. « Nous allons simplement accorder un accès temporaire jusqu'à ce que nous puissions leur expédier un terminal renforcé… » peut sembler prudent face à une échéance imminente, mais une seule fissure dans l'armure est tout ce dont un cybercriminel a besoin.
Aujourd'hui, les prestataires ne peuvent accéder aux systèmes Okta que s'ils utilisent un terminal Okta renforcé ou (dans un nombre limité de scénarios BYOD) un terminal exécutant notre logiciel de gestion des appareils. En plus de l'authentification résistante au phishing, ces terminaux appliquent des pratiques de sécurité supplémentaires telles que l'utilisation d'un VPN et des évaluations de la posture de sécurité des terminaux.
Il n'en a pas toujours été ainsi, cependant, donc une grande partie du travail que nous avons effectué pour renforcer notre surface d'attaque a consisté à mettre en œuvre une approche à deux volets :
- S'assurer que chaque prestataire existant a reçu un terminal renforcé et une clé de sécurité hors ligne (dans notre cas, une YubiKey)
- Mise à jour de nos processus d'onboarding des prestataires (plus d'informations à ce sujet dans un instant)
Bien que cela puisse représenter une lourde tâche, en particulier pour les grandes entreprises comme Okta, le renforcement de votre posture de sécurité en vaut l'effort.
Ce que nous avons trouvé utile, c'est d'inclure la sécurité comme un élément important de nos valeurs et de redoubler d'efforts dans notre engagement en faveur de la sécurité via l’ Okta Secure Identity Commitment. En nous concentrant véritablement sur la sécurité en tant qu'organisation, nous considérons les coûts liés à l'équipement de l'ensemble de notre personnel élargi avec des terminaux renforcés comme des investissements dans notre posture de sécurité. Ces investissements nous aident à éviter ou à minimiser l'impact financier, juridique et réputationnel des incidents de sécurité.
Formation obligatoire à la sécurité
Dans le cadre du processus d'onboarding, tous les prestataires travaillant avec Okta sont tenus de suivre notre Formation obligatoire, notamment :
- Sensibilisation générale à la sécurité, qui explique, entre autres, comment protéger notre entreprise, nos systèmes informatiques, nos données, notre personnel et nos autres actifs contre les menaces ou les criminels
- La confidentialité des données, qui englobe l'importance de la confidentialité des données, les principes de confidentialité des données et les bonnes pratiques pour gérer et protéger les données sensibles
- La sécurité physique, qui concerne la sécurité au sein de nos installations (puisque certains prestataires peuvent avoir besoin de visiter nos bureaux) et la protection des informations sensibles dans le monde physique.
Et nous prenons cela très au sérieux. Les prestataires qui négligent leurs responsabilités recevront un message de ma part, ce qui n'est probablement pas le moment fort de leur journée. Tous ces modules sont importants, mais la formation générale à la sensibilisation à la sécurité est particulièrement essentielle.
Avec la Formation générale de sensibilisation à la sécurité, ce que nous essayons de réaliser se trouve dans le titre du module : créer une sensibilisation générale à la sécurité. Ainsi, en plus de conseils spécifiques — qu'il s'agisse de prendre des précautions lors de l'admission de participants extérieurs à une réunion ou de ne pas laisser de mots de passe, de clés API ou de clés de chiffrement dans les référentiels — nous essayons également de sensibiliser aux menaces générales qu'un prestataire pourrait rencontrer.
Se prémunir contre social engineering
Par exemple, les employés d'Okta sont régulièrement ciblés par des cybercriminels cherchant à accéder à nos systèmes, et l'ingénierie sociale — en particulier le phishing et le prétexte — est l'une de leurs approches préférées. Bien sûr, les acteurs malveillants sont très habiles à découvrir les tiers qui collaborent avec nous, puis à identifier les employés individuels au sein de ces tiers. Par conséquent, ces individus sont soumis aux mêmes tactiques de social engineering que notre propre équipe interne.
Un prestataire pourrait ne pas accorder beaucoup d'importance à l'ajout d'une nouvelle puce à son profil LinkedIn, expliquant qu'il collabore avec Okta. Et ils pourraient ne pas penser que quelque chose ne va pas lorsqu'ils reçoivent une demande de connexion d'un profil à l'apparence professionnelle, ou lorsque ce nouveau contact leur envoie un message direct et commence à poser des questions dans le cadre de la « préparation d'un entretien d'embauche » ou pour une autre raison plausible.
Ou, pour prendre un exemple plus extrême — mais malheureusement trop réel —, la personne lambda ne fera certainement pas le rapprochement si elle se connecte avec quelqu'un sur une application de rencontre, le rencontre en personne et commence à parler de ce qu'elle fait dans la vie. Nous savons que la Formation n'est pas une solution magique, mais elle a au moins le mérite d'informer ou de rappeler aux prestataires qu'ils sont des cibles, non seulement au travail, mais aussi dans leur vie personnelle.
Cette sensibilisation accrue pourrait lead un peu de méfiance. Ce petit peu de suspicion pourrait faire la différence entre devenir une victime de social engineering et relier les points subtils qui montrent que quelque chose ne va pas. Et la connexion de ces points pourrait permettre à la personne ciblée de freiner ou de signaler la menace avant que des dommages ne soient causés.
Résistance de bout en bout au phishing
Le phishing étant une menace quotidienne, nous avons investi beaucoup de temps et d'efforts pour embarquer la résistance au phishing tout au long du cycle de vie du prestataire — de l'onboarding à l'offboarding. Par exemple, nous délivrons une YubiKey à chaque prestataire. Cette clé de sécurité hors ligne doit être activée avant qu'un prestataire puisse accéder à l'un de nos systèmes, et elle est également utilisée dans le cadre de notre processus de vérification d'identité si un prestataire doit travailler avec notre service d'assistance.
(Et pour tous les lecteurs qui ont pens er des YubiKeys er le travail, mais qui ont h er l'effort manuel impliqu L'int er Okta avec l'offre FIDO Pre-reg de Yubico a rendu le processus tr t.)
De même, l'authentification biométrique basée sur le terminal, ainsi que des outils tels que Okta Device Access, Okta FastPass et Okta Verify renforcent la sécurité sans ajouter de friction qui pourrait entraver les efforts de quelqu’un pour accomplir son travail.
Le meilleur moment pour commencer était hier, le deuxième meilleur moment pour commencer est maintenant.
Dans l'environnement actuel de menaces, sécuriser votre Organizations nécessite la mise en œuvre de contrôles efficaces sur l'ensemble de votre personnel, y compris la longue liste de tiers qui ont accès à vos systèmes internes.
Il ne peut vraiment pas y avoir d'exceptions.
Bien sûr, parvenir à cet objectif depuis votre position actuelle est un parcours — mais avec le support de votre équipe de direction, cela est vraiment possible.
