L'identité a longtemps été considérée comme la pierre angulaire de la cybersécurité, mais sa capacité à fonctionner seule diminue. Alors que les acteurs malveillants exploitent de plus en plus l'IA et les techniques de phishing sophistiquées, l'approche traditionnelle consistant simplement à vérifier l'identité des employés s'avère insuffisante. L'essor du SaaS, des politiques BYOD et des modèles de travail hybrides signifie qu'un identifiant valide n'équivaut plus automatiquement à une connexion sécurisée. ## Le point aveugle post-authentification Bien que l'authentification multifacteur (MFA) ait été conçue pour combler cette lacune, les kits de phishing modernes permettent désormais aux attaquants d'intercepter et de proxifier l'authentification en temps réel, volant les jetons de session même après une complétion réussie de la MFA. La victime effectue sans le savoir toutes les vérifications de sécurité, tandis que l'attaquant obtient l'accès avec un cookie de session valide. Le **NIST Special Publication 800-207**, la base de l'architecture Zero Trust, avait anticipé ce défi. Il souligne la nécessité d'aller au-delà de la confiance implicite après l'authentification initiale et d'intégrer la posture de sécurité de l'appareil dans les décisions d'accès. En pratique, de nombreuses organisations traitent encore l'authentification comme un événement unique. L'identité est vérifiée, la MFA est passée et une session commence, la confiance étant maintenue jusqu'à l'expiration du jeton. De manière critique, un jeton de session dans le navigateur d'un attaquant apparaît identique à celui du navigateur de l'utilisateur, rendant les journaux d'authentification traditionnels incapables de les différencier. ## Où Zero Trust échoue De nombreuses implémentations Zero Trust privilégient l'identité, se concentrant sur le renforcement de l'authentification, l'application de la MFA, la réduction de la dépendance aux mots de passe et la mise en œuvre de politiques de connexion basées sur les risques. La vérification de l'appareil, cependant, est souvent appliquée de manière incohérente, s'arrêtant fréquemment à la connexion ou limitée aux flux de travail basés sur le navigateur dans les cadres d'accès conditionnel. Les protocoles hérités, les outils d'accès à distance et les intégrations d'API héritent souvent de la confiance implicitement une fois l'identité établie. Cela crée un modèle de sécurité fragmenté. Les appareils personnels et tiers peuvent être faiblement contrôlés ou entièrement non gérés. La confiance de session persiste même si la posture de l'appareil se dégrade en milieu de session. Les signaux d'identité et les signaux de point de terminaison résident dans des outils séparés avec une intégration limitée. L'identité est fortement examinée à la connexion, mais l'accès est rarement réévalué de manière significative. ## L'appareil : la pièce manquante Un mot de passe volé utilisé depuis un ordinateur portable contrôlé par un attaquant ne devrait pas être traité de la même manière qu'un mot de passe identique utilisé depuis un point de terminaison d'entreprise conforme et chiffré. Cependant, c'est précisément ce qui se passe lorsque l'accès est uniquement régi par l'identité. La posture de l'appareil fournit des informations critiques que l'identité seule ne peut pas fournir. L'appareil est-il chiffré ? La protection du point de terminaison est-elle active et à jour ? Le système d'exploitation est-il patché ? La configuration a-t-elle dévié de la politique ? S'agit-il de matériel approuvé ? De manière cruciale, ces réponses doivent rester à jour tout au long de la session. Les mises à jour peuvent être retardées, la protection du point de terminaison peut être désactivée et des logiciels non autorisés peuvent être installés. Les conditions à la connexion ne sont pas nécessairement les mêmes que les conditions plus tard dans la session. La vérification continue de l'appareil réduit la valeur des identifiants volés et des jetons interceptés en liant l'accès non seulement à l'identité, mais aussi à un point de terminaison fiable et sain. ## Quatre principes pour un modèle plus solide Une approche plus robuste combine l'identité avec la vérification continue de l'appareil. Cela se traduit par les pratiques suivantes : 1. **Vérifier en continu l'utilisateur et l'appareil :** L'accès doit être conditionnel à l'état de santé de l'appareil, pas seulement à l'identité. Des ajustements en temps réel des niveaux de confiance doivent se produire si la protection du point de terminaison est désactivée ou si le chiffrement est désactivé en milieu de session. Cela atténue efficacement les risques associés aux identifiants volés, à la relecture de jetons, à la fatigue MFA et aux points de terminaison contrôlés par l'attaquant. 2. **Lier l'accès au matériel approuvé :** Mettre en œuvre des contrôles basés sur l'appareil pour enregistrer le matériel de confiance et différencier les points de terminaison d'entreprise, personnels et tiers. Des identifiants valides utilisés depuis un appareil non reconnu ne devraient pas accorder l'accès simplement parce que la MFA a réussi. 3. **Appliquer une application proportionnée :** Éviter les contrôles rigides qui conduisent à des contournements. Une stratégie de posture mature peut appliquer des restrictions conditionnelles, des privilèges réduits ou des périodes de grâce limitées dans le temps au lieu de bloquer par défaut. Cet équilibre est crucial pour les équipes hybrides et distantes. 4. **Permettre la remédiation en libre-service :** Si la confiance est liée à l'état de santé de l'appareil, les utilisateurs ont besoin d'un moyen de rétablir cette confiance. Des corrections guidées pour le chiffrement, les mises à jour du système d'exploitation ou la protection du point de terminaison permettent aux employés de résoudre les problèmes de posture sans nécessiter d'intervention informatique ni de perdre l'accès inutilement. Des solutions comme **Specops Device Trust** opérationnalisent ce modèle en étendant les décisions de confiance au-delà de l'identité et en maintenant l'application à mesure que les conditions changent. Elle authentifie en continu les utilisateurs et vérifie leurs appareils sur les plateformes Windows, macOS, Linux et mobiles, pas seulement à la connexion.  L'identité reste importante, mais elle ne peut plus supporter seule tout le poids des décisions d'accès.