4 façons pour les experts gouvernementaux en cybersécurité de garantir l'assurance de la mission grâce à la confiance zéro

Pour les équipes fédérales chargées de la sécurité, l'assurance de la mission est essentielle. Les applications doivent rester disponibles à tout moment pour assurer le succès de la mission.  

La meilleure façon d'assurer la résilience d'une mission est d'appliquer les principes de la confiance zéro. Fondée sur l'idée que les failles sont inévitables et sur le mantra "ne jamais faire confiance, toujours vérifier", Zero Trust peut aider les agences gouvernementales à intégrer l'assurance de la mission dans leur stratégie de sécurité.  

Afin de partager les stratégies de confiance zéro et les meilleures pratiques pour l'assurance des missions, les experts fédéraux en cybersécurité Gary Barlet, CTO fédéral chez Illumio et ancien CIO du bureau de l'inspecteur général de l'U.S. Postal Service, Mark Stanley, Enterprise Cybersecurity Architecture pour la NASA, et David Bottom, CIO de la Securities and Exchange Commission, ont participé à un webinaire avec le Federal News Network.

Regardez l'intégralité du webinaire ici.

Poursuivez votre lecture pour obtenir un résumé de leur discussion et des recommandations clés pour la mise en œuvre de la confiance zéro dans votre agence.  

Pourquoi les agences fédérales doivent-elles adopter la confiance zéro pour assurer leur mission ?

Une stratégie de sécurité "zéro confiance" aide les agences à répondre à la question : Comment réussir si quelque chose tourne mal ?

"Lorsque tous les systèmes fonctionnent normalement, c'est très bien", explique M. Barlet. "Mais qu'en est-il lorsque les choses sont attaquées ?"

La confiance zéro part du principe qu'il s'agit simplement d'une question de temps avant qu'une brèche ne se produise. Cet état d'esprit permet de mettre en place une sécurité qui aidera non seulement les équipes à être conscientes d'une attaque et à la stopper, mais aussi à faire fonctionner les systèmes, qu'ils soient internes ou déployés auprès du public.  

Comme le souligne M. Barlet, "la NASA ne peut pas tout arrêter au milieu d'un lancement", pas plus que la quasi-totalité des autres agences. Si les systèmes sont mis hors ligne à la suite d'une attaque d'un adversaire, la vie des employés et des citoyens peut être mise en danger et les agences perdent la confiance des parties prenantes.

Les panélistes ont convenu qu'une approche de la cybersécurité fondée sur le principe du "set and forget" n'est pas suffisante pour assurer la résilience des systèmes.

"L'assurance de la mission n'est pas un exercice statique", a déclaré M. Bottom. "Les attentes et les exigences évoluent constamment. Elles doivent être prises en compte dans la planification que nous faisons".  

Selon les panélistes, une partie de cette planification doit impliquer une infrastructure de confiance zéro qui limite la capacité des adversaires à se déplacer latéralement dans le réseau. Cela permet de limiter le rayon d'action - ou l'impact - d'une attaque sur le système et de maintenir la résilience lors d'une attaque active.  

"L'un des éléments clés de la confiance zéro est la possibilité de limiter le rayon d'action de l'explosion", a expliqué M. Stanley. "Si quelqu'un qui tente d'exécuter une attaque par logiciel malveillant parvient à compromettre mon compte, dans le cadre d'un scénario de confiance zéro et de moindre privilège, il ne pourra s'attaquer qu'aux éléments auxquels j'ai accès, et rien de plus". La confiance zéro, a-t-il ajouté, "élimine les mouvements latéraux à travers le réseau".

Comme l'a expliqué M. Barlet, ce travail n'est pas quelque chose qui s'achève ou qui est pleinement réalisé. La sécurité zéro confiance est un processus continu.

"Il n'y aura jamais de fin à l'aventure Zero Trust", a déclaré M. Barlet. "Il n'y a jamais de fin aux menaces auxquelles vous êtes confrontés. Par conséquent, le voyage de la confiance zéro ne s'arrêtera jamais".

4 exigences pour la mise en place d'une assurance de mission avec Zero Trust

Selon les panélistes, voici leurs quatre recommandations clés pour les agences qui mettent en œuvre la confiance zéro :

1. Obtenez une visibilité de bout en bout

Un élément essentiel de ce voyage sans fin : "Avoir une bonne visibilité dans l'ensemble de l'entreprise", a déclaré M. Barlet. Le mot "entreprise" est essentiel. Cela signifie une visibilité non seulement des éléments d'infrastructure, où les agences ont traditionnellement installé des défenses périmétriques. La visibilité s'étend aux applications, aux données et à la manière dont elles interagissent les unes avec les autres.

"Les applications ont une connectivité interne à laquelle les agences sont souvent aveugles", a déclaré M. Barlet. Pour sécuriser les cinq piliers de la confiance zéro (CISA), les agences "doivent d'abord comprendre ce qui se passe dans leur entreprise et comment les choses sont réellement interconnectées".

"Vous avez besoin d'un regard objectif, non pas sur ce que les gens pensent qu'il se passe, mais plutôt sur ce qui se passe réellement", a déclaré M. Barlet. "Vous devez voir en temps réel ces interconnexions et ce trafic qui circule. Il ajoute que lorsqu'Illumio montre à un client ces dépendances et ces interconnexions, "ils sont généralement si divergents qu'ils en font une crise cardiaque, pour être honnête avec vous".

2. Construire une architecture flexible et adaptable

Les réseaux d'aujourd'hui sont en constante évolution. Les équipes de sécurité ne peuvent plus s'appuyer sur le modèle traditionnel des réseaux statiques, lents à évoluer.  

"Tout modèle ou architecture de confiance zéro doit pouvoir s'adapter à tous ces changements rapides", a déclaré M. Barlet.

Lorsque les agences créent et suppriment des machines virtuelles ou reconfigurent les paramètres, la cybersécurité doit suivre ces changements de manière cohérente.  

3. Déployer Zero Trust dans tous les environnements, y compris les terminaux, OT et IoT.

Les trois experts s'accordent à dire que la confiance zéro doit s'étendre aux dispositifs des utilisateurs, et pas seulement aux utilisateurs, ainsi qu'à l'OT et à l'IoT qui interagissent avec le réseau.

Selon M. Stanley, son équipe surveille en permanence l'activité des appareils des systèmes de la NASA. Ils recherchent les anomalies qui peuvent modifier le niveau de confiance dans une tentative d'accès particulière.

"L'intérêt de Zero Trust est qu'il surveille l'activité et ajuste les scores en temps réel", a déclaré M. Stanely.  

Cela permet de s'assurer que tout problème est rapidement détecté, classé par ordre de priorité et traité par l'équipe de sécurité de la NASA afin de garantir la poursuite de la mission.

4. Intégrer la sécurité "zéro confiance" dans les processus de développement

M. Barlet a recommandé que les principes de la confiance zéro soient intégrés au développement de nouvelles applications dans le cadre des processus DevSecOps. Les développeurs utilisent du code source ouvert et la cybersécurité doit intégrer la notion de confiance zéro pour sécuriser ces applications.  

"La réalité du développement de code aujourd'hui est que plus personne n'écrit chaque ligne de code tout seul. Ils téléchargent des modules et utilisent du code source ouvert", explique M. Barlet. Tous ces logiciels ont des dépendances et des interconnexions dont l'agence doit être consciente et qu'elle doit intégrer dans le système "Zero Trust".

Les agences peuvent voir ces dépendances en obtenant une visibilité sur les flux de communication du réseau. Ils peuvent ensuite définir des politiques de sécurité qui garantissent que toutes les vulnérabilités sont comblées et n'autorisent que l'accès nécessaire.

Contactez-nous dès aujourd'hui pour savoir comment Illumio peut sécuriser votre organisme gouvernemental.