Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Ce que la nouvelle politique de sécurité du président Biden signifie pour l'avenir du cyberespace

Andrew Rubin
Cofondateur et directeur général
Illumio Editorial
Mai 13, 2021
23 min. lire

Cet article a été publié à l'origine sur LinkedIn d'Andrew Rubin.

L'administration Biden vient de consolider son héritage en matière de politique de cybersécurité en adoptant un décret de grande envergure visant à améliorer la résilience du gouvernement des États-Unis et à réduire les risques auxquels il est exposé. C'est la première fois que notre gouvernement tente de réécrire son plan de cybersécurité depuis près de vingt ans, et il n'est pas trop tôt pour le faire. Aujourd'hui plus que jamais, les adversaires disposent du temps, du personnel et des ressources nécessaires pour mettre au point de nouvelles méthodes d'intrusion - et comme l'ont montré les récentes attaques de Colonial Pipeline et de SolarWinds, leurs efforts d'exploitation sont couronnés de succès à grande échelle.

Il ne s'agit pas seulement d'un problème américain, d'un problème fédéral ou d'un problème politique - une contagion de complaisance s'est insinuée dans le système. C'est pourquoi j'accueille ce décret à bras ouverts, car c'est un appel à l'action : nous devons changer la manière dont nous nous protégeons.

Prendre de l'avance

Depuis un certain temps, le gouvernement fédéral américain accuse un retard considérable en matière de modernisation des technologies de l'information et de la cybersécurité. Le secrétaire du ministère américain de la sécurité intérieure, Alejandro Mayorkas, a parfaitement résumé l'état actuel de la cybersécurité fédérale en Amérique lorsqu'il a présenté sa vision de la cyber-résilience nationale le 31 mars dernier : "Notre gouvernement a été piraté l'année dernière et nous ne l'avons pas su pendant des mois. Ce n'est que lorsque l'une des meilleures sociétés de cybersécurité au monde s'est fait pirater et a alerté le gouvernement que nous l'avons découvert. Cet incident est l'un des nombreux qui soulignent la nécessité pour le gouvernement fédéral de moderniser les défenses en matière de cybersécurité et d'approfondir nos partenariats".

Comment se fait-il que l'un des pays les plus riches et les plus innovants du monde soit historiquement à la traîne lorsqu'il s'agit de sécuriser les infrastructures nationales ? On pourrait penser que les milliards de dollars fédéraux consacrés à la sécurisation des actifs gouvernementaux atténuent l'impact des menaces extérieures.

Mais le problème n'est pas que nous manquons de ressources, de talents ou d'accès aux technologies de cyberdéfense les plus performantes - après tout, les États-Unis sont fiers d'abriter de nombreux leaders mondiaux de la cybersécurité. Je crois plutôt que ce que le secrétaire Mayorkas a exposé est une mise en accusation de l'ensemble du modèle de cybersécurité - si ce n'est pour le monde, au moins pour le gouvernement fédéral.

Au niveau mondial, nous avons dépensé 173 milliards de dollars pour la cybersécurité l'année dernière, et pourtant nous avons plus de brèches que jamais dans l'histoire - et ce sont les brèches les plus catastrophiques de tous les temps. Malgré l'échec de notre stratégie et les terribles résultats obtenus, nous continuons aujourd'hui à adopter la même approche de la cybersécurité qu'il y a 20 ans. Les organisations tentent d'empêcher les attaques de s'infiltrer dans le périmètre, puis de les détecter lorsqu'elles se faufilent et de s'en remettre à la réponse aux incidents pour faire le ménage.

L'époque où la prévention et la détection suffisaient à sauver votre agence, votre entreprise ou votre organisation est révolue. Votre infrastructure fait actuellement l'objet d'attaques dont vous ne soupçonnez pas l'existence. Ils se cachent. Ils se font passer pour ce qu'ils sont. Ils essaient de se déplacer pour voler votre propriété intellectuelle, vos données clients et vos secrets d'État ou pour demander une rançon. Malheureusement, notre approche actuelle de la cybersécurité ne permet guère d'empêcher ces attaques de se transformer en cybercatastrophes à grande échelle.

Se rendre à Ground Zero

Ce décret reconnaît enfin que le modèle fédéral de cybersécurité est dépassé en présentant la première ébauche de la nouvelle conception de la sécurité. La nouvelle approche peut être résumée en deux mots : Confiance zéro.

Choisissez un fournisseur et vous trouverez un million de définitions de la confiance zéro. Forrester a rendu ce terme public il y a plus de dix ans, et un blog récent de Steve Turner, analyste chez Forrester, l'a formulé ainsi : "Zero Trust n'est pas un produit ou une plate-forme ; c'est un cadre de sécurité construit autour du concept "ne jamais faire confiance, toujours vérifier" et "supposer une violation"".

En ce qui concerne l'aspect de la confiance zéro au niveau fédéral, il y aura un certain nombre d'éléments essentiels à la réussite de la mise en œuvre et de la réalisation d'une stratégie de confiance zéro. L'accès, l'identité et la segmentation sont trois technologies de base qui, selon moi, seront nécessaires à grande échelle. Si vous avez utilisé Google Authenticator, Authy ou toute autre application d'authentification multifactorielle, vous avez fait un pas vers la confiance zéro, par exemple. Mais il existe des principes de conception fondamentaux qui s'imposent quelle que soit la définition que vous suivez.

Pour commencer, le gouvernement fédéral doit fonctionner selon la mentalité "assumez la violation", qui consiste à penser que les attaques sont déjà présentes dans l'infrastructure et que de nouvelles attaques se produiront à l'avenir. À partir de ce point de départ stratégique, les cyberdéfenses fédérales peuvent alors mieux se préparer à stopper les mouvements adverses des attaques dans un nuage, un réseau ou un centre de données. Nous avons appris à nos dépens qu'une efficacité de 99,9% n'est pas suffisante lorsque 0,1% des brèches coûtent des milliards de dollars aux contribuables ou entraînent la fermeture d'infrastructures essentielles, comme les oléoducs stratégiques. Il s'agit plutôt de se préparer de manière proactive aux violations, afin que les organisations puissent en atténuer la portée et l'impact.

Pour aller un peu plus loin, le gouvernement devrait suivre les principes du moindre privilège et de la confiance explicite. Cela signifie que les communications au sein de votre infrastructure (entre les applications, les réseaux, les nuages, les centres de données ou les appareils) devraient toutes avoir le moins de privilèges possible à tout moment, et que les agences devraient être tenues de faire explicitement confiance aux communications avant qu'elles ne soient autorisées à se dérouler entre ces systèmes. Ces principes, par exemple, auraient pu empêcher l'attaque de SolarWinds de causer autant de dégâts. Les logiciels malveillants auraient été présents dans l'infrastructure, mais isolés et incapables de causer des dommages aussi étendus.

La nouvelle normalité cybernétique

Comme l'a expliqué le secrétaire d'État Mayorkas, "nous devons fondamentalement changer notre état d'esprit et reconnaître que la défense doit aller de pair avec la résilience. Des innovations audacieuses et immédiates, des investissements à grande échelle et le relèvement du niveau de la cyberhygiène essentielle sont nécessaires de toute urgence pour améliorer nos cyberdéfenses. Nous devons donner la priorité aux investissements à l'intérieur et à l'extérieur du gouvernement en conséquence".

La confiance zéro est plus qu'un simple cadre national de cybersécurité - c'est quelque chose que toute entreprise, organisation ou individu peut adopter pour atteindre une véritable résilience cybernétique. Ce que l'administration Biden préconise, ce n'est pas le renversement des outils et des technologies de sécurité qui alimentent et protègent le monde d'aujourd'hui, mais un état d'esprit stratégique pour compléter ces solutions, afin de renforcer davantage nos défenses en matière de cybersécurité et d'amplifier notre état de préparation.

La modernisation de la cybersécurité au niveau fédéral ne peut évidemment pas se faire en une seule fois, mais elle doit commencer par des contrôles conçus pour isoler les activités malveillantes une fois qu'elles ont pénétré dans les réseaux fédéraux. Cela doit commencer par un état d'esprit de violation des droits de l'homme, dans toutes les agences. Et cela doit commencer par l'adoption de stratégies de confiance zéro à grande échelle.

Sujets connexes

Government

Articles connexes

Un guide pour naviguer dans la surcharge de politiques des systèmes distribués d'aujourd'hui
Cyber Resilience

Un guide pour naviguer dans la surcharge de politiques des systèmes distribués d'aujourd'hui

Explorez les huit types de politiques de systèmes distribués et découvrez une feuille de route claire pour comprendre leur infrastructure, leur sécurité et leur automatisation.

Read more
Le manuel du RSSI : Pourquoi vous devez faire du risque de sécurité un critère de mesure pour l'entreprise
Cyber Resilience

Le manuel du RSSI : Pourquoi vous devez faire du risque de sécurité un critère de mesure pour l'entreprise

Découvrez pourquoi les RSSI d'aujourd'hui doivent apporter des données au conseil d'administration pour prouver la réduction des risques, obtenir un soutien budgétaire et aligner la cybersécurité sur les objectifs de l'entreprise.

Read more
Offrir le cadeau que mérite votre équipe de sécurité informatique pour les fêtes de fin d'année
Cyber Resilience

Offrir le cadeau que mérite votre équipe de sécurité informatique pour les fêtes de fin d'année

Apprenez à préparer votre entreprise à la période de récolte des mauvais acteurs - les fêtes de fin d'année.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more