Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

La première SIM Zero Trust

2022-09-26

Lecture: 6 min.
Cet article est également disponible en English, en Deutsch, en 日本語, en Español et en 简体中文.

Le téléphone portable constitue aujourd'hui un outil essentiel de l'espace de travail moderne, d'autant plus depuis que ce dernier a quitté les bureaux physiques. Compte tenu des milliards d'appareils mobiles en service sur la planète (ils surpassent désormais les PC en nombre), il n'est pas surprenant de constater qu'ils sont devenus le vecteur de menace de choix pour les acteurs cherchant à percer les défenses des entreprises.

The first Zero Trust SIM

Le problème auquel ces dernières font face pour se défendre contre ces attaques s'articule autour du fait que pour la plupart des solutions Zero Trust, le mobile passe bien souvent au second plan. Ces solutions se montrent généralement difficiles à installer et à gérer. En outre, elles ne fonctionnent qu'au niveau de la couche logicielle, comme dans le cas de WARP, l'écosystème d'applications mobiles (et de bureau) qui connecte directement les appareils à notre réseau Zero Trust, et ce avant même d'ajouter les complications supplémentaires liées à l'approche Bring Your Own Device (BYOD) suivie par de plus en plus de collaborateurs, qui consiste à déployer le Zero Trust sur un appareil n'appartenant pas à l'entreprise.

Malgré un caractère de plus en plus crucial, ce problème demeure difficile à résoudre. Toutefois, nous pouvons vous aider à ce sujet.

Et si les employeurs pouvaient proposer à leurs collaborateurs un arrangement du type : « Nous couvrons vos coûts de données mensuels si vous acceptez de nous laisser rediriger votre trafic lié au travail via un réseau disposant de protections Zero Trust intégrées. Mieux encore, nous rendrons l'installation ultra-facile. En fait, pour profiter de cette offre, il vous suffira de scanner un code QR (qui peut être incorporé aux documents d'intégration du collaborateur) à l'aide de l'appareil photo de votre téléphone » ?

Dans ce cadre, nous aimerions vous présenter la solution Cloudflare SIM : la première SIM Zero Trust du monde.

Dans le plus pur style Cloudflare, nous pensons qu'allier la couche logicielle et la couche réseau permet de démultiplier la sécurité, les performances et la fiabilité. En nous attaquant à une technologie fondamentale qui sous-tend chaque appareil mobile (la fameuse carte SIM), nous cherchons à offrir une sécurité (et des performances) d'un niveau inégalé à l'univers mobile.

La menace est de plus en plus mobile

Lorsque nous disons que le mobile constitue le nouveau vecteur de menaces, nous ne parlons pas d'un concept abstrait. Le mois dernier, Cloudflare a été l'une des 130 entreprises ciblées par une attaque de phishing sophistiquée. Le mobile était d'ailleurs la pierre angulaire de cette dernière, car les collaborateurs étaient à l'origine contactés par SMS et l'attaque reposait fortement sur la compromission de codes 2FA.

Pour autant que nous le sachions, notre entreprise fut la seule à ne pas être compromise.

Une grande partie de ce résultat provient du fait que nous déployons des défenses Zero Trust multicouches en permanence. Compte tenu du caractère fondamental du mobile dans le fonctionnement actuel des entreprises, nous avons travaillé dur à la consolidation des défenses Zero Trust au sein de cet univers. C'est d'ailleurs ainsi que nous considérons la solution Zero Trust SIM : une nouvelle couche de défense, située à un niveau différent de la pile et capable de compliquer la vie des acteurs cherchant à pénétrer votre entreprise. Zero Trust SIM vous permet ainsi de bénéficier des avantages suivants :

  • Empêcher les collaborateurs de se rendre sur des sites de phishing et liés à des logiciels malveillants : les requêtes DNS quittant l'appareil peuvent utiliser automatiquement et implicitement Cloudflare Gateway à des fins de filtrage DNS.

  • Atténuer les attaques SIM courantes : l'approche privilégiant l'eSIM (embedded SIM, SIM embarquée) nous permet d'empêcher les attaques par échange ou clonage de SIM et d'apporter à ce type de SIM les mêmes protections que les SIM physiques. Le verrouillage des SIM sur l'appareil spécifique d'un collaborateur permet également de renforcer le processus.

  • Mettre en place une connectivité privée, sécurisée et reposant sur l'identité aux services cloud, à l'infrastructure sur site, voire aux autres appareils (p. ex une flotte d'appareils IdO) via Magic WAN. Chaque SIM peut être liée de manière forte à un collaborateur spécifique et considérée comme un signal d'identité conjointement à d'autres signaux de niveau de sécurité des appareils déjà pris en charge par WARP.

Grâce à l'intégration des fonctionnalités de sécurité de Cloudflare au niveau de la SIM, les équipes peuvent mieux sécuriser leurs flottes d'appareils mobiles, en particulier dans un monde où l'approche BYOD constitue la norme et non plus l'exception.

Le Zero Trust fonctionne mieux lorsqu'il repose sur l'aspect logiciel et les accès directs

Au-delà de tous les avantages de sécurité obtenus pour les appareils mobiles, la solution Zero Trust SIM transforme le mobile en nouvel accès direct (on-ramp) vers la plateforme Cloudflare One.

Cloudflare One présente un plan de contrôle unique et unifié permettant aux entreprises d'appliquer des contrôles de sécurité à l'ensemble du trafic, entrant et sortant, de leurs réseaux, de leurs appareils et de leur infrastructure. C'est également vrai pour le processus de connexion, avec un emplacement pour vos journaux et un autre pour l'ensemble de vos analyses de sécurité. Grâce à la SIM Cloudflare, le mobile est désormais considéré comme un nouvel accès à sens unique permettant de faire transiter ce trafic au sein de votre réseau d'entreprise.

Le fait de travailler sur l'accès direct plutôt qu'au niveau logiciel présente un autre avantage : il offre la flexibilité nécessaire pour permettre aux appareils d'atteindre les services qui ne figurent pas sur Internet, comme l'infrastructure cloud, les datacenters et les bureaux régionaux connectés via Magic WAN, notre plateforme de réseau en tant que service (NaaS, Network-as-a-Service). Malgré les apparences, nous utilisons d'ailleurs les mêmes fondations logicielles de mise en réseau que nos clients utilisent pour développer la couche de connectivité à l'œuvre derrière la solution Zero Trust SIM. Cette approche nous permettra de prendre en charge de nouvelles fonctionnalités (comme Geneve, un nouveau protocole de tunnellisation réseau) afin d'étendre la manière dont les clients peuvent connecter leur infrastructure à Cloudflare One.

Nous suivons les initiatives telles qu'IoT SAFE (et les normes parallèles sans lien avec l'IdO) qui permettent aux cartes SIM d'être utilisées comme une « root-of-trust » (racine de confiance), afin d'instaurer une association plus forte entre la SIM Zero Trust, l'identité du collaborateur et le potentiel que la carte se comporte comme un jeton physique de confiance.

Mettez immédiatement (et facilement) en place le Zero Trust sur mobile

Chaque fournisseur de solutions Zero Trust promet bien entendu une protection des mobiles. Toutefois, la mise en place de cet aspect pour les collaborateurs peut s'avérer difficile, notamment dans le cas du BYOD. Pour intégrer un appareil, il convient de se plonger en profondeur dans l'application Paramètres de votre téléphone : accepter les profils, faire confiance aux certificats et (dans la plupart des cas) l'ensemble tourne autour de la nécessité de mettre en place une solution mature de gestion des appareils mobiles (MDM, Mobile Device Management).

L'installation constitue un vrai casse-tête.

Veuillez noter que nous ne préconisons pas plus l'élimination du logiciel client sur téléphone que nous ne le ferions sur PC. Il vaut mieux disposer d'un plus grand nombre de couches de défense que d'un nombre insuffisant. De même, la sécurisation des connexions Wi-Fi établies sur le téléphone demeure nécessaire. Cependant, l'un des grands avantages de la SIM de Cloudflare réside dans le fait que les collaborateurs sont immédiatement mis à l'abri derrière la plateforme Zero Trust de Cloudflare, pour l'ensemble de leur trafic mobile.

Toutefois, nous ne souhaitions pas uniquement simplifier le processus d'installation sur l'appareil, mais aussi les chaînes d'approvisionnement informatique des entreprises.

L'un des défis traditionnellement associés aux cartes SIM repose sur l'idée que ces dernières ont toujours été, jusqu'à récemment, des cartes physiques. Une carte que vous devez envoyer par courrier à vos collaborateurs (soit un risque sur la chaîne d'approvisionnement à l'époque contemporaine), qui peut être perdue, dérobée, mais aussi connaître des défaillances. Dans un contexte d'effectifs distribués, toutes ces opérations se révèlent encore plus difficiles. Nous savons que la sécurité constitue un aspect essentiel, pourtant une sécurité difficile à déployer tend à l'être de manière incohérente, ad hoc, voire pas du tout.

Toutefois, presque tous les téléphones vendus ces dernières années disposent d'une eSIM, ou plus précisément d'une eUICC (Embedded Universal Integrated Circuit Card, carte à circuit intégré universel incorporée), capable d'être reprogrammée de manière dynamique. Il s'agit d'une avancée énorme, et ce pour deux raisons principales :

  1. Cette approche vous permet ainsi d'éviter l'ensemble des défis logistiques liés aux SIM physiques (leur expédition par courrier, les risques sur la chaîne d'approvisionnement, leur installation par les utilisateurs) !

  2. Vous pouvez les déployer automatiquement, que ce soit par l'intermédiaire de codes QR, de fonctionnalités de gestion des appareils mobiles (MDM) intégrées aux appareils mobiles d'aujourd'hui ou d'une application (notre application mobile WARP, par exemple).

Nous explorons également la possibilité d'introduire des SIM physiques (comme celles décrites ci-dessus). Si nous considérons que les eSIM représentent l'avenir, notamment du fait de leurs avantages en termes de déploiement et de sécurité, nous comprenons que l'avenir n'est pas toujours distribué de manière uniforme. Nous nous efforcerons de nous assurer que les SIM physiques que nous envoyons sont aussi sécurisées que possible et partagerons, à cet égard, de nouvelles informations sur la manière dont nous nous y prendrons dans les mois à venir.

Confidentialité et transparence pour les collaborateurs

Bien entendu, les collaborateurs utilisent de plus en plus leurs propres appareils pour leur travail. De plus, si les employeurs souhaitent s'assurer que les ressources de leur entreprise sont sécurisées, les collaborateurs ont également des inquiétudes en matière de confidentialité lorsque leur travail et leur vie privée cohabitent sur le même appareil. Vous pourriez ne pas avoir envie que votre chef sache que vous avez un compte Tinder.

Nous souhaitons faire preuve de réflexion dans la manière dont nous approchons cet aspect, en englobant les deux perspectives. Nous disposons déjà d'un processus de journalisation sophistiqué intégré à Cloudflare One et comptons l'étendre à la solution Cloudflare SIM. À l'heure actuelle, la plateforme Cloudflare One peut être explicitement configurée de manière à ne journaliser que les ressources qu'elle bloque (les menaces contre lesquelles elle protège les collaborateurs), sans journaliser chaque domaine visité en dehors de ce cadre. Nous travaillons à rendre ce processus aussi évident et transparent que possible pour les employeurs et leurs collaborateurs afin que, dans le plus pur style Cloudflare, la sécurité n'ait pas à faire de compromis sur la confidentialité.

Et ensuite ?

Comme pour n'importe quel produit Cloudflare, nous testons celui-ci sur nos systèmes en premier lieu (un processus connu sous le nom de « dogfooding », c'est-à-dire « goûter sa propre soupe », pour les initiés). Compte tenu des services que nous fournissons à plus de 30 % des entreprises classées au Fortune 1000, nous continuons d'observer un nombre toujours croissant d'attaques sophistiquées visant la cybersécurité, et d'en être la cible. Nous pensons qu'exécuter le service en premier lieu constitue une étape importante pour nous assurer que la solution Zero Trust SIM soit à la fois aussi sécurisée, mais aussi facile à déployer et à gérer que possible sur un parc comprenant des milliers d'employés.

Nous apportons également la solution Zero Trust SIM à l'Internet des objets. On attend ainsi de presque chaque véhicule vendu de nos jours qu'il dispose d'une connectivité cellulaire. De même, un nombre croissant de terminaux de paiement s'appuient sur une carte SIM. Même chose pour un certain nombre d'appareils industriels dans le domaine de la fabrication et de la logistique. La sécurité des appareils IdO fait l'objet de niveaux de surveillance accrus et s'assurer que le seul moyen pour un appareil de se connecter soit un moyen sécurisé (protégé par les fonctionnalités Zero Trust de Cloudflare) peut empêcher directement l'appareil de rejoindre les rangs du prochain gros botnet DDoS.

Nous déploierons la solution Zero Trust SIM à nos clients sur une base régionale à mesure que nous bâtirons notre connectivité régionale à travers le monde (si vous êtes un opérateur : contactez-nous). Nous aimerions tout particulièrement discuter avec les entreprises qui ne disposent pas du tout d'une solution existante de sécurité mobile ou qui connaissent des difficultés pour la mettre en place. Alors, n'hésitez pas à vous inscrire ici si cette éventualité vous intéresse.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Birthday Week (FR)Zero TrustSIM (FR)Nouveautés produitsConnectivity (FR)Mobile (FR)

Suivre sur X

Matt Silverlock|@elithrar
Cloudflare|@cloudflare

Publications associées

24 octobre 2024 à 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23 octobre 2024 à 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...