Home » Explication de l’approche Zero Trust pour gérer le cyber-risque

Explication de l’approche Zero Trust pour gérer le cyber-risque

by Nouvelles

L’administration Biden pousse les agences fédérales à adopter une philosophie de cybersécurité qui est devenue de plus en plus populaire dans le secteur privé dans un contexte d’évolution croissante vers le cloud computing et d’une recrudescence des cyberattaques : ne faites confiance à rien.

Le Bureau de la gestion et du budget de la Maison Blanche a publié la semaine dernière un projet de plan pour une approche dite de confiance zéro pour repousser les pirates. Le changement, que le président Biden a annoncé en mai dans le cadre d’un décret visant à renforcer la cybersécurité, vise à aider à repérer ou à contenir des menaces telles que la violation des systèmes fédéraux l’année dernière via SolarWinds. Corp.

Des pirates informatiques ont compromis une mise à jour logicielle de la société pour s’introduire dans les réseaux informatiques d’au moins neuf agences fédérales et de dizaines d’entreprises américaines.

La mise en œuvre d’une nouvelle gamme de politiques, de procédures et d’outils dans les agences fédérales pourrait nécessiter des investissements importants et des années d’efforts, a déclaré Theresa Payton, directrice générale de Fortalice Solutions LLC, une société de conseil en cybersécurité. Elle a comparé le passage à la confiance zéro à un changement de mode de vie, ajoutant que la poussée de l’administration pourrait aider à moderniser les cyberdéfenses du gouvernement.

« Si c’était facile à faire, ce serait déjà fait », a déclaré Mme Payton, qui était la directrice de l’information de la Maison Blanche sous le président George W. Bush. “Ça va devenir très cher, très vite.”

Voici les bases de l’approche zéro confiance :

Qu’est-ce que la confiance zéro ?

L’approche considère tout utilisateur, appareil ou application comme une menace potentielle, nécessitant une vérification répétée des identités et des capacités d’accès aux données. Cela contraste avec les cadres de sécurité traditionnels, dans lesquels les outils ou les personnes sont dignes de confiance une fois qu’ils ont dépassé les défenses du périmètre souvent structurées autour de réseaux liés à des bureaux physiques.

La confiance zéro « est particulièrement importante maintenant que nous avons eu la pandémie », a déclaré Bret Arsenault, directeur de la sécurité de l’information pour Microsoft Corp.

« Vous voulez avoir la même expérience cohérente, que vous travailliez à partir d’un lieu de travail, que vous travailliez à domicile ou n’importe où entre les deux. »

L’approche peut aider à atténuer les piratages grâce à une surveillance et une segmentation plus granulaires des réseaux, limitant les utilisateurs des données qui leur sont interdites. M. Arsenault a déclaré que cela s’est avéré essentiel pour comprendre la menace pour les réseaux de Microsoft de l’attaque SolarWinds.

“Le monde aurait été différent si nous n’avions pas mis en place une confiance zéro”, a-t-il déclaré. « Nous savions où [the compromised software] était. Nous savions où il était contenu. Nous savions ce que nous devions faire dans ce scénario.

Comment les organisations peuvent-elles transformer le mot à la mode en réalité ?

Bien que de nombreux aspects de la confiance zéro ne soient pas nouveaux, selon les cyber-experts, les combiner en un tout cohérent est plus complexe. Cela peut nécessiter de cataloguer tous les appareils d’une organisation, d’instituer une authentification multifacteur ou biométrique, de surveiller les connexions en temps réel, de renforcer les contrôles d’accès des utilisateurs, de boucler les technologies obsolètes et de diviser les réseaux en zones pouvant être isolées en cas d’attaques.

Certains projets, tels que le cryptage des données, peuvent être relativement faciles à réaliser, a déclaré Selim Aissi, ancien responsable de la sécurité de l’information pour la société de traitement des hypothèques Ellie Mae Inc. Mais il peut être plus coûteux de remplacer des outils de sécurité vieillissants qui ne sont pas conçus pour un approche plus agressive du partitionnement des réseaux ou de la surveillance des données.

“Si vous avez une très vieille technologie de pare-feu, bonne chance”, a déclaré M. Aissi. « Cela signifie qu’il est à déchirer et à remplacer. »

Les organisations qui procèdent à de tels changements doivent également obtenir l’adhésion des travailleurs, a déclaré M. Aissi, ajoutant: “La technologie et les processus ne peuvent pas tout faire en fin de compte.”

Que demande l’administration Biden aux agences fédérales ?

Le projet de stratégie de l’OMB demande aux agences fédérales d’ici l’exercice 2024, qui se termine le 30 septembre, de créer un inventaire de leurs appareils, de crypter les réseaux et d’instituer un système d’authentification permettant aux utilisateurs d’accéder aux applications via une connexion unique et sécurisée. Le plan appelle également les fonctionnaires à traiter toutes les applications comme étant connectées à Internet et à améliorer la façon dont ils surveillent les données sur les réseaux informatiques. Certaines agences, comme le ministère de la Défense, ont déjà commencé à prendre de telles mesures.

La Cybersecurity and Infrastructure Security Agency aidera les agences à apporter des changements en matière de sécurité et a publié ses propres directives sur la façon d’évoluer vers une confiance zéro. Pourtant, CISA a averti que l’effort pourrait exiger de nombreuses agences de reconstruire ou de remplacer une grande partie de leur infrastructure informatique existante.

“Le chemin vers la confiance zéro est un processus incrémentiel qui prendra des années à mettre en œuvre”, a déclaré CISA.

L’OMB n’avait pas prévu ce que coûterait le passage à la confiance zéro. Le bureau a demandé aux agences d’utiliser les fonds existants pour les mises à niveau au cours de l’exercice 2022 et de fournir à l’OMB des estimations budgétaires pour les deux exercices suivants.

Que ce passe t-il après?

L’OMB sollicite les commentaires du public sur sa proposition de stratégie de confiance zéro jusqu’au 21 septembre. La CISA est ouverte aux commentaires sur ses orientations jusqu’au 1er octobre.

Copyright © 2021 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8

.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.