Les 3 vérités de John Kindervag sur la confiance zéro pour les agences gouvernementales

Ces dernières années, le secteur public américain a reçu une multitude de conseils sur la confiance zéro - du modèle de maturité de la confiance zéro de la CISA à l'EO 14028 et au NIST SP 800-207. Vous pouvez avoir l'impression d'être submergé d'informations à trier ou de ne pas savoir par où commencer au sein de votre agence.  

C'est pourquoi le Federal Tech Podcast s'est entretenu dans un épisode récent avec John Kindervag, parrain et créateur de Zero Trust et évangéliste en chef chez Illumio, afin de comprendre les trois vérités clés de Zero Trust. Ces informations sont essentielles pour aider les agences à trouver et à rester sur la bonne voie lorsqu'elles se conforment aux mandats de Zero Trust.

1. Vous ne pouvez pas appliquer la confiance zéro en une seule fois

Selon Kindervag, l'une des principales idées fausses sur la confiance zéro, en particulier au sein du gouvernement fédéral, est qu'il est possible d'atteindre la confiance zéro en une seule fois et dans un délai précis.  

Cependant, c'est loin d'être la façon dont il a conçu la stratégie.

"C'est un voyage que l'on entreprend pour toujours", explique Kindervag.  

Il est essentiel pour les agences de commencer dès maintenant à mettre en place le programme "Zero Trust" afin de renforcer la résilience de leurs missions. Mais il est impossible de savoir quand votre agence atteindra la confiance zéro, car il s'agit d'un effort continu. Selon M. Kindervag, la question la plus importante que les agences devraient se poser est de savoir ce qu' elles sécurisent, et non pas quand.

"Je ne me préoccupe pas tant du temps que de la mise en place des bonnes mesures d'incitation et des bons programmes", a déclaré M. Kindervag.  

Il recommande aux agences de commencer par obtenir une visibilité complète, de bout en bout, de leur environnement. Grâce à ces informations, ils peuvent déterminer où se situent les risques, donner la priorité à la sécurisation des zones les plus menacées et les plus critiques pour la mission, puis travailler sur une surface de protection à la fois : "Vous construisez la confiance zéro par morceaux", explique-t-il.

2. La confiance zéro n'est pas difficile

Kindervag a créé la stratégie de sécurité Zero Trust pour qu'elle trouve un écho dans l'ensemble de l'organisation, depuis les dirigeants jusqu'aux praticiens de la sécurité. À cette fin, la stratégie a été conçue pour être simple à comprendre et à mettre en œuvre.

"Pourquoi tous ces gens donnent-ils l'impression que Zero Trust est si difficile ? "Il s'agit d'un processus progressif. Vous le faites surface de protection par surface de protection".

En faisant de l'application un processus itératif, les équipes de sécurité peuvent se concentrer sur un système, une application ou une ressource à la fois, du plus critique au moins critique. L'un des principaux avantages de cette méthode est qu'elle ne perturbe que très peu, voire pas du tout, la mission.

"Vous mettez en œuvre les contrôles Zero Trust une surface de protection après l'autre, ce qui les rend non perturbateurs", explique M. Kindervag. "Le maximum que vous puissiez faire est de protéger une surface. Vous ne pouvez pas faire échouer l'ensemble du réseau ou de l'environnement".

3. Mettre en œuvre la confiance zéro de manière proactive

La confiance zéro repose sur le fait que les violations sont inévitables ; elle reflète la stratégie de sécurité la mieux adaptée à la surface d'attaque moderne.  

"La surface d'attaque est comme l'univers : elle s'étend constamment", a déclaré M. Kindervag.

Les outils de sécurité traditionnels de prévention et de détection ont été conçus à une époque où les environnements informatiques étaient beaucoup plus petits, plus simples et situés à l'intérieur d'un seul périmètre. Aujourd'hui, les réseaux sont complexes, distribués et sans périmètre.  

Une architecture de confiance zéro aide les agences à gérer le risque accru résultant de cette évolution. "La confiance zéro inverse le problème, en le réduisant à quelque chose de petit et de facile à connaître, appelé surface de protection", a expliqué M. Kindervag.

Si les outils de prévention et de détection restent importants, ils ne suffisent pas à se prémunir contre les cybermenaces en constante évolution. Il est essentiel que les agences mettent en place une sécurité proactive tant à l'extérieur qu'à l'intérieur du réseau. Les technologies de confiance zéro, y compris les outils fondamentaux tels que la segmentation de confiance zéro (ZTS), aident les agences à se préparer de manière proactive aux violations.

"Beaucoup de gens ne feront rien tant qu'il ne se sera pas passé quelque chose de grave", a déclaré M. Kindervag, soulignant qu'il s'agit là d'une façon dépassée d'envisager la sécurité. "C'est comme lorsqu'il y a une tempête de grêle et que vous voulez souscrire une assurance pour votre voiture. Que vous dit la compagnie d'assurance ? Non, il est trop tard."

"Vous devez vous placer devant la sécurité, et non derrière elle", a recommandé M. Kindervag.

Les 5 étapes de la confiance zéro

M. Kindervag encourage les agences à suivre son processus en cinq étapes pour la mise en œuvre de la confiance zéro au fur et à mesure qu'elles s'y conforment :

1. Définissez votre surface de protection : Vous ne pouvez pas contrôler la surface d'attaque parce qu'elle évolue constamment, mais vous pouvez réduire la surface de protection de votre organisation en petites parties faciles à connaître. La surface de protection comprend généralement un seul élément de données, un seul service ou un seul bien.

2. Cartographier les flux de communication et de trafic : Vous ne pouvez pas protéger le système sans en comprendre le fonctionnement. La visibilité de vos environnements montre où des contrôles sont nécessaires.

3. Élaborer l'environnement "Zero Trust" : Une fois que vous avez une visibilité complète du réseau, vous pouvez commencer à mettre en œuvre des contrôles adaptés à chaque surface de protection.

4. Créez des politiques de sécurité "Zero Trust" : Élaborez des politiques qui fournissent une règle granulaire permettant au trafic d'accéder à la ressource dans la surface de protection.

5. Surveillez et entretenez le réseau : Injectez des données télémétriques dans le réseau, en créant une boucle de rétroaction qui améliore continuellement la sécurité et construit un système résilient et antifragile.

Illumio peut aider votre agence à franchir ces cinq étapes dans son parcours Zero Trust. Découvrez comment nous soutenons les agences gouvernementales et contactez-nous dès aujourd'hui pour commencer.