Skip to main content
HashnodeLogin Sécurité - Le blogLogin Sécurité - Le blog

Command Palette

Search for a command to run...

Phishing, infostealers et obsolescence : pourquoi le Zero Trust reste hors de portée pour beaucoup

Published
8 min read
Phishing, infostealers et obsolescence : pourquoi le Zero Trust reste hors de portée pour beaucoup
L
Login Sécurité

Login Sécurité protège votre entreprise : cybersécurité, SOC, services managés, formation et gestion de crise à Paris, Lille et en régions.

Le Zero Trust, une promesse difficile à tenir

On entend souvent parler du Zero Trust depuis quelques années. Il s’est imposé comme étant le mot d’ordre dans la sécurisation du SI et de ses ressources. Face à cette généralisation des plateformes cloud, du travail hybride, les menaces se sont aussi adaptées et ont évolué avec le phishing, vol de sessions, infostealers. L’objectif est clair aujourd’hui : réduire la confiance implicite des accès au SI (VPN, SaaS, etc.).

Concrètement, le Zero Trust repose sur un principe simple : “ne jamais faire confiance, toujours vérifier”. Chaque accès doit être authentifié, autorisé et validé en continu. Techniquement, cela peut s’implémenter au travers de l’authentification moderne avec des protocoles comme OpenID Connect, SAML (permettant une authentification centralisée), du MFA (passkey, etc.), une durée de vie limitée des sessions et la contextualisation des contrôles d’accès. C’est cela qui rend possible une évaluation dynamique pour l’application d’un modèle Zero Trust, en opposition des accès classiques avec la simple combinaison utilisateur/mot de passe.

Une philosophie limpide, mais que se passe-t-il quand elle se heurte à une réalité plus rude ? Des moyens limités, des parcs informatiques hétérogènes ou encore une fragmentation des écosystèmes d’appareils face à l’authentification moderne (obsolescencesBYOD)...

Aujourd’hui, nous allons parler du Zero Trust, de sa philosophie et de sa mise en application. Entre la théorie d’un modèle idéal et la réalité du terrain, un fossé se creuse avec de nombreuses structures qui peinent à avancer.

L’illusion d’un modèle universel

La logique Zero Trust se résume à un contrôle d’accès sur :

  • Une évaluation dynamique du sujet cherchant à accéder à la ressource

  • Une évaluation du contexte d’accès du sujet

  • La criticité de la ressource ciblée

Ce modèle se traduit par des exigences de gouvernance et technique fortes :

  • Une vision complète de son SI et savoir évaluer les impacts de la centralisation du contrôle d’accès

  • Une infrastructure pour l’authentification et la gestion des identités

  • Une supervision de sécurité de son parc et une gestion des actifs

  • Des mécanismes d’authentification forts

La menace contre-attaque

Il n’y a pas si longtemps, dans une galaxie pas si lointaine ! - quelque part entre Redmond et les datacenter Microsoft…

En 2022, Microsoft annonçait la désactivation progressive de l’authentification basique sur Exchange Online. L’objectif : pousser les entreprises vers des méthodes modernes OAuth2 et MFA et fermer la porte aux accès via un unique mot de passe.

Résultat, l’écosystème cybercriminel s’est adapté et dans les semaines qui ont suivi, les phishings AiTM permettant d’intercepter les identifiants et cookies de sessions se sont généralisés, rendant ainsi l’usage d’un second facteur d’authentification facilement contournable. Il a souvent été répété que le SMS et le téléphone ne sont pas des facteurs d’authentification suffisamment sécurisés (ce qui est le cas en soit), mais qu’en est-il si l’on ne peut garantir la source de la connexion ? Comment garantir que l’action soit bien réalisée depuis un appareil connu ou bien par l’utilisateur lui-même.

À ce risque bien connu, il faut ajouter les infostealers et le problème que ces derniers représentent, notamment sur l’usage professionnel depuis des appareils personnels ou de prestataire/partenaire en dehors du périmètre de l’entreprise. Ces attaques alimentent un marché parallèle offrant à des acteurs, avec diverses motivations, des accès valides sur les SI, que ce soit pour de la fraude, du ransomware, etc.

Ces menaces démontrent bien l’obsolescence des défenses traditionnelles. Des réponses crédibles permettent d’y remédier comme FIDO2 et les passkeys, mais les prérequis peuvent être inatteignables tant sur le plan matériel, logiciel qu’organisationnel.

Même si les réglementations et standards appellent à une meilleure maîtrise des identités et accès, faute d’accompagnement, la perception du risque devient une notion abstraite jusqu’à ce qu’un incident survienne. Dans ce cas, le principe du Zero Trust refait surface, non pas comme une stratégie proactive, mais de remédiation.

Le paradoxe du Zero trust

Économiquement parlant, le Zero Trust est un investissement rationnel avec plus de contrôle et une réduction des incidents. Mais le ticket d’entrée représente un certain coût, que ce soit sur :

  • Des licences (MDM, etc.)

  • Matériels compatibles avec les standards comme FIDO2

  • Un contrôle d’accès efficace (ZTNA, CASB)

  • La formation des équipes sur les environnements et l’application

Au-delà de l’aspect financier, la méconnaissance des fonctionnalités est un frein qui pèse lourd dans l’implémentation du Zero Trust. Beaucoup d’équipes informatiques ignorent les capacités que leurs solutions intègrent :

  • Par exemple, Microsoft EntraID avec son accès conditionnel et méthodes d’authentifications (Windows Hello, FIDO, Certificats, etc.)

  • La cartographie de son SI et la gouvernance de l’usage des plateformes

  • La connaissance des attaquants et de leurs tactiques et tactiques employées par les acteurs malveillants

Cette méconnaissance tient à un manque de formation, de communication ou simplement de temps. Les structures manquent de moyens et sous-exploitent les outils qu’elles possèdent déjà.

Le fait de déployer un contrôle d’accès minimaliste avec du MFA et une segmentation des utilisateurs (administrateurs, bureau, etc.) est pragmatique, mais n’adresse pas la cause profonde avec un écosystème complexe, fragmenté et mal compris. Ces stratégies frugales limitent les risques les plus évidents, mais restent éloignées du modèle idéal. Bien souvent, entre la volonté de sécuriser et la réalité économique autant que technique, le Zero Trust exige un investissement initial difficile à consentir ou à traduire sur le terrain.

Les talons d’Achille du Zero Trust

L’obsolescence du matériel freine toute approche vers du Zero Trust, mais il ne s’agit pas de la seule contrainte opérationnelle à la mise en place de ce modèle.

Certaines organisations se retrouvent avec un parc d’authentificateurs mobiles “hors radar” : des téléphones personnels, parfois anciens, non mis à jour, mais qui servent de point d’entrée légitime dans l’écosystème.

Le premier, c’est le BYOD, souvent devenu la norme par contrainte plus que par choix. Le smartphone personnel est aujourd’hui la clé d’accès principale aux comptes cloud : authentification MFA, notifications de connexion, approbations via Microsoft Authenticator ou d’autres applications similaires. Pour certaines structures, une part importante des utilisateurs disposent de terminaux non compatibles avec les standards récents (passkeysFIDO2) ou non enrôlés dans un MDM. Impossible, dès lors, de vérifier l’intégrité, la conformité ou de mettre en œuvre ces standards de manière homogène.

À cela s’ajoute un autre problème souvent sous-estimé : la maintenance du référentiel d’identité. La synchronisation des appareils et des comptes vers des plateformes comme Microsoft Entra ID ou d’autres annuaires en mode hybrides reste souvent incomplète, voire incohérente. Beaucoup d’organisations n’ont pas de processus fiable pour identifier, inventorier et suivre les appareils utilisés pour les accès. Certains terminaux deviennent invisibles ou mal catégorisés, rendant impossible la mise en place de politiques d’accès conditionnels efficaces.

Dans la réalité, une partie du parc n’existe tout simplement pas aux yeux de l’annuaire. Entre les appareils personnels, les postes non gérés, la visibilité s’effrite et avec elle, la promesse d’un contrôle d’accès efficace.

Enfin, la diversité des environnements complique encore la tâche :

  • Disparités d’intégration FIDO2 entre iOS, Android et Windows. Par exemple, Apple ne permet pas la création d’un lien persistant dans le cadre d’authentification cross-device

  • Synchronisations incomplètes entre référentiels d’identité

  • Couverture MDM incomplète

Chaque exception crée une faille potentielle, chaque angle mort un point d’entrée.

Vers un Zero Trust réaliste

Le Zero Trust ne doit pas être perçu comme une norme inaccessible, mais comme une trajectoire. C’est une philosophie de réduction de la confiance implicite, adaptable au contexte de chaque organisation.

Plutôt que de viser la conformité parfaite, il s’agit d’avancer progressivement :

  • Prioriser les identités et services critiques

  • Activer les fonctionnalités de sécurité déjà incluses dans les solutions cloud

  • Passer à des MFA résistants au phishing dès que possible

  • Segmenter les accès selon le risque

  • Renforcer la formation et la culture cyber

Le véritable enjeu n’est pas seulement financier, mais technique et informationnel. Les organisations se heurtent à un triple mur :

  1. L’obsolescence du matériel

  2. La méconnaissance des outils existants

  3. Et la fragmentation des écosystèmes (iOS vs Android, Windows vs macOS) qui rend l’intégration des standards de sécurité inégale

Tant que ces disparités persisteront, le Zero Trust restera hors de portée, non par manque de volonté, mais par manque d’harmonisation. Le comprendre, c’est déjà commencer à tracer la voie vers un Zero Trust plus inclusif, plus accessible, et enfin réaliste.

Dans cette démarche parfois chancelante vers le Zero Trust, mieux vaut ne pas avancer seul. Notre rôle, c’est justement de vous aider à retrouver l’équilibre, vous accompagner sur les sujets de SOC, de conseil, d’audit et de vous accompagner dans le renforcement de vos stratégies et politiques.

📢 Rendez-vous sur notre site ou contactez-nous !

Auteur : Olivier Mathieu, consultant cybersécurité

#zerotrust#phishing#infostealer

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

L

Login Sécurité - Le blog

23 posts

Le blog de Login Sécurité est votre point d’entrée pour découvrir les actualités, événements et analyses pointues en cybersécurité rédigés par des experts !