Dans les attaques modernes, compromettre un compte ne signifie pas toujours casser le mot de passe. L'utilisateur peut être la bonne personne, passer le MFA avec succès ; mais l'appareil depuis lequel il accède peut être obsolète, avec l'agent de sécurité désactivé, le chiffrement du disque inactif, infecté par un malware ou rooté. Dans ce cas, même si l'authentification réussit, le risque d'accès persiste.
Le télétravail et le modèle BYOD amplifient ce problème. Appareil d'entreprise, appareil personnel, appareil mobile géré, session de navigateur temporaire et endpoint inconnu peuvent tous tenter d'accéder aux mêmes applications. Accorder à tous ces appareils la même confiance d'accès contredit l'approche zero-trust.
Les couches d'équilibreur de charge ou WAAP classiques ne voient généralement pas la posture de l'appareil. Lorsque le trafic utilisateur arrive, elles peuvent interpréter l'IP, les headers, le TLS ou l'information de session ; mais elles ne peuvent pas lier naturellement à la décision d'accès le fait que l'appareil soit géré ou non, son état de chiffrement du disque, l'activité de son agent de sécurité ou sa conformité OS.
La bonne approche consiste à faire de la confiance de l'appareil un signal de première classe de la politique d'accès. Identité de l'utilisateur, posture de l'appareil, localisation, niveau de risque, comportement de session et état MFA doivent être évalués dans la même chaîne de conditional-access.
TR7 Endpoint Trust Manager offre ce modèle : il lie les signaux de confiance issus de la posture de l'appareil aux politiques d'accès AAM et prend la décision d'accès avec le triplet utilisateur + appareil + contexte.
TR7 ETM fonctionne avec la posture de l'appareil, les signaux agentless, l'évaluation continue et l'intégration à la politique d'accès.
Sur les appareils gérés, la version de l'OS, le chiffrement du disque, l'état de l'agent de sécurité, le pare-feu, la gestion de l'appareil et les informations de conformité peuvent être collectés. Ces signaux riches fournissent un contexte de haute confiance dans la décision d'accès.
Sur les appareils sans agent installé, l'information du navigateur, l'empreinte TLS, les indices sur l'OS et le contexte client peuvent être évalués. Ce modèle n'est pas aussi riche que la posture complète, mais il ne laisse pas les appareils inconnus totalement aveugles.
L'appareil peut être évalué non seulement au moment du login, mais aussi durant toute la session. Si la posture se dégrade, le niveau d'accès peut être abaissé, un MFA peut être demandé ou la session peut être terminée.
L'appareil peut être classé compliant, non-compliant ou at-risk. Ces classes sont directement liées aux politiques AAM comme allow, MFA, block ou accès restreint.
L'Endpoint Trust Manager transforme les signaux de confiance de l'appareil en entrée de décision applicable pour les politiques d'accès AAM.
TR7 ETM est positionné pour intégrer à la décision d'accès les signaux de posture issus des ordinateurs de bureau, portables et appareils mobiles. Appareil d'entreprise, appareil personnel et appareil mobile géré peuvent être évalués dans la même chaîne de politique. Cette approche réduit la création d'îlots de sécurité distincts pour différents types d'endpoints. La décision d'accès se construit selon le type d'appareil et le niveau de confiance.
Les versions d'OS anciennes, les endpoints non patchés et les plateformes en fin de support augmentent le risque d'accès. TR7 ETM peut utiliser la version et l'actualité de l'OS comme trust signal. Une politique de blocage direct, de MFA supplémentaire ou d'accès à privilèges réduits peut être appliquée aux appareils anciens. Ainsi, l'accès aux applications est lié à l'exigence d'une plateforme sûre.
Les appareils sans chiffrement du disque présentent un risque élevé dans les scénarios de perte ou de vol d'endpoint. TR7 ETM peut évaluer l'état de chiffrement du disque comme l'un des signaux fondamentaux de confiance de l'appareil. L'accès aux applications critiques peut n'être accordé qu'aux appareils utilisant un disque chiffré. Ce modèle est particulièrement important dans les environnements traitant des données financières, de santé et publiques.
Le fait que l'agent de sécurité soit actif ou non sur l'endpoint est un indicateur de posture important. Si l'agent de sécurité est désactivé, arrêté ou non à jour, l'appareil peut être placé dans la classe at-risk. Dans ce cas, la politique AAM peut demander un MFA supplémentaire, restreindre l'accès ou le bloquer totalement. La décision d'accès s'aligne sur l'état de défense de l'endpoint.
L'état de gestion issu des intégrations MDM/EMM modernes peut indiquer si l'appareil est sous contrôle de l'entreprise. Un niveau de confiance plus élevé peut être accordé aux appareils gérés, et un accès plus limité aux appareils personnels non gérés. Cette approche permet de gérer l'usage du BYOD sur une base de risque sans l'interdire totalement. Un équilibre plus pratique s'établit entre l'expérience utilisateur et la politique de sécurité.
Les appareils rootés ou jailbreakés présentent un risque élevé en matière d'isolation des applications, de sécurité des certificats et de protection des données. TR7 ETM peut placer ces appareils dans la classe non-compliant ou at-risk. En accès à la banque mobile, à un portail de santé ou à la gestion d'entreprise, ce signal peut constituer un motif direct de blocage. La confiance de l'endpoint mobile devient partie intégrante de la politique d'accès.
Un agent peut ne pas être installé sur chaque appareil. Dans ce cas, des signaux agentless comme la version du navigateur, l'empreinte TLS, l'indice sur l'OS et le contexte des headers peuvent être utilisés. Ces signaux ne fournissent pas une posture d'appareil complète, mais ils aident à distinguer un appareil inconnu d'un appareil de confiance. L'AAM peut alors appliquer un MFA supplémentaire ou un niveau de confiance réduit.
La posture de l'appareil ne suffit pas à elle seule ; la localisation et le contexte réseau comptent aussi. Les accès depuis un pays à risque, une localisation inhabituelle ou un réseau inattendu peuvent être évalués avec le signal de confiance de l'appareil. Lorsqu'un OS ancien et une localisation à haut risque se combinent, une action plus forte peut être prise. Ce modèle rend la décision d'accès multidimensionnelle.
Un grand nombre de signaux de posture peut être complexe pour l'équipe opérationnelle. TR7 ETM peut transformer ces signaux en un trust score de 0 à 100 ou en un comportement de classification similaire. L'équipe qui rédige la politique peut décider avec des niveaux de confiance low, medium, high au lieu d'interpréter chaque signal un par un. Cela convertit les signaux de confiance en politique d'accès applicable.
Le niveau de confiance de l'appareil peut être utilisé directement dans la conditional-access policy de l'AAM. Une politique allow peut être appliquée aux appareils compliant, MFA aux appareils at-risk, block aux appareils non-compliant. Ainsi, la posture de l'appareil n'est pas seulement une information rapportée, mais l'entrée d'une décision d'accès vivante. L'accès aux applications fonctionne au plus près de la logique zero-trust.
Un appareil peut être sûr au moment du login, mais l'agent de sécurité peut s'arrêter ou l'état de posture peut changer pendant la session. TR7 ETM peut capter ce changement grâce à une évaluation régulière. Si la posture chute, la session peut être suspendue, un MFA peut être redemandé ou l'accès peut être coupé. Cette approche supprime l'hypothèse « le login a réussi, donc c'est désormais fiable ».
La posture de l'appareil, les changements de trust score, les non-conformités, les déclenchements de MFA et les événements de blocage peuvent être envoyés au SIEM. Les équipes SOC peuvent corréler le risque endpoint avec les événements d'accès applicatif. Cette visibilité renforce l'analyse de la prise de contrôle de compte, de la non-conformité d'appareil et des accès anormaux. Le signal endpoint trust devient partie intégrante des opérations de sécurité.
L'Endpoint Trust Manager s'exploite avec les données de posture, le protocole de trust signal, l'intégration aux politiques, l'évaluation continue, l'audit et le flux SIEM.
La posture de l'appareil peut être associée au contexte de session AAM. Ainsi, la décision d'accès est prise non seulement à partir du résultat du login, mais aussi à partir de l'état de confiance de l'appareil pendant la session. Le transport de la donnée de posture avec la session rend les décisions de politique plus cohérentes.
Dans les scénarios avec agent, les signaux de posture issus de l'appareil peuvent être transmis à la couche TR7 ETM via un canal sécurisé. En mode agentless, les signaux obtenus à partir du contexte navigateur et TLS sont utilisés. Les deux modèles alimentent la politique avec des niveaux de confiance différents.
Les signaux ETM fonctionnent avec la conditional-access policy, les méthodes MFA et le moteur de continuous-trust-evaluation. Cette intégration rend possibles les décisions allow, challenge, block ou session suspend. La confiance de l'appareil n'est pas un simple rapport, mais une action d'accès.
La posture de l'appareil peut être réévaluée à intervalles définis. La boucle par défaut peut être ajustée selon la politique de l'entreprise. Une évaluation plus fréquente peut être préférée pour les applications critiques, plus espacée pour les applications à faible risque.
Chaque posture event, changement de trust score et décision d'accès peut être écrit dans l'audit log. La question « qui, depuis quel appareil, avec quelle posture, a accédé à quelle application » devient répondable. Ces enregistrements soutiennent les processus d'audit et d'investigation des incidents.
Les événements ETM peuvent être transmis au flux de SIEM log streaming. Des événements comme la non-conformité d'endpoint, le déclenchement de MFA, le refus d'accès ou la suspension de session peuvent être corrélés dans le système central de surveillance de sécurité. Ainsi, l'endpoint trust est lié à la visibilité de la sécurité applicative.
Les équipes bancaires peuvent classer comme non-compliant les appareils mobiles rootés ou jailbreakés. L'accès depuis ces appareils est bloqué ou peut exiger une vérification supplémentaire.
Les organismes publics peuvent n'accorder l'accès aux applications classifiées qu'aux appareils gérés, avec chiffrement du disque activé et agent de sécurité actif. Les appareils non conformes sont refusés au niveau de la politique.
Lorsqu'un professionnel de santé accède depuis un appareil personnel, si le trust score de l'appareil est faible, un MFA supplémentaire ou un accès restreint peut être appliqué. Si l'agent de sécurité s'arrête, la session peut être suspendue.
Au lieu d'accorder un accès direct à un utilisateur utilisant un OS ancien et arrivant d'une localisation à haut risque, un step-up MFA peut être appliqué. Si le niveau de risque s'élève, l'accès peut être totalement bloqué.
Que l'identité de l'utilisateur, la posture de l'appareil et le contexte soient évalués ensemble. Planifions une visite guidée d'une installation en direct dans votre propre environnement.