.png)
La résilience des infrastructures critiques commence par une confiance zéro
Cet article a été publié à l'origine sur MeriTalk sur le site 30, 2022.
De la violation de Colonial Pipeline à l'attaque par ransomware de JBS, l'année écoulée nous a montré que les cyberattaques contre les infrastructures essentielles des États-Unis sont plus incessantes, plus sophistiquées et plus percutantes que jamais, et qu'elles menacent trop souvent la stabilité économique et le bien-être des citoyens américains.
C'est pourquoi la protection des infrastructures critiques reste une priorité pour le gouvernement fédéral. Le décret de 2021 de l'administration Biden sur l'amélioration de la cybersécurité de la nation (EO) a défini des mandats et des exigences de sécurité spécifiques que les agences doivent respecter avant l'année fiscale 2024 afin de renforcer la résilience de l'organisation et de la chaîne d'approvisionnement. L'une des composantes essentielles du décret est la progression vers une architecture de confiance zéro, une méthodologie de cybersécurité introduite pour la première fois il y a près de dix ans et fondée sur les principes du "moindre privilège" et de l'"hypothèse d'une violation".
En mars 2022, le président Biden a réaffirmé le décret de 2021 dans sa "Déclaration... sur la cybersécurité de notre nation", en citant à nouveau la confiance zéro comme meilleure pratique en matière de cybersécurité, alors que les États-Unis cherchent à améliorer la cybersécurité nationale et à renforcer la résilience nationale dans le sillage d'un conflit mondial émergent. En outre, la loi de 2022 sur le signalement des incidents cybernétiques pour les infrastructures critiques (Cyber Incident Reporting for Critical Infrastructure Act of 2022 ), promulguée en mars 2022, obligera les opérateurs d'infrastructures du secteur privé à signaler au gouvernement les incidents cybernétiques et les paiements de ransomware, ce qui renforcera l'importance accordée par les États-Unis à la protection des infrastructures critiques.
"assume la rupture"
Afin de soutenir les efforts de résilience en cours, les organisations du gouvernement fédéral et de l'industrie privée doivent commencer à adopter une approche proactive de la cybersécurité. Il s'agit d'abord de repenser la manière dont nous abordons fondamentalement la sécurité.
La transformation numérique a considérablement élargi la surface d'attaque. Aujourd'hui, l'architecture informatique moderne est de plus en plus un mélange hybride de systèmes sur site, de nuages publics et de nuages multiples, ce qui ouvre de nouvelles portes aux attaquants pour qu'ils puissent non seulement accéder aux environnements, mais aussi s'y déplacer facilement. Alors que la fréquence et la gravité des violations ne cessent d'augmenter, notre secteur adopte rapidement un état d'esprit "assumer la violation" - comprendre que même avec les meilleures technologies de prévention et de détection rapide, des violations vont se produire.
Pensez à l'évolution récente du secteur de la cybersécurité : La première ère de la sécurité était uniquement axée sur la protection. Dans un centre de données clos, sur site, l'accent était mis sur la sécurité périmétrique - construire un mur numérique et empêcher les méchants d'entrer. Il y a une dizaine d'années, une vague de violations très médiatisées nous a fait prendre conscience du fait qu'un mur ne peut pas empêcher totalement les malfaiteurs d'entrer. À partir de là, l'accent s'est déplacé de la sécurité périmétrique vers la deuxième ère de la sécurité, celle de la détection et de la réponse rapides - trouver le méchant rapidement après qu'il a franchi le mur.
Nous sommes maintenant dans la troisième vague de sécurité : L'accent est mis sur l'endiguement et l'atténuation. C'est là que les capacités de confiance zéro telles que la segmentation de confiance zéro (c'est-à-dire la microsegmentation) peuvent être utiles. Par exemple, dans le cas où des acteurs malveillants accèdent à une agence fédérale, la segmentation zéro confiance peut aider à limiter leur impact en contenant l'intrusion à un seul système compromis, ce qui limite considérablement l'accès aux données sensibles.
En fait, selon une étude récente d'ESG, les organisations qui utilisent la segmentation zéro confiance ont 2,1 fois plus de chances d'éviter une panne critique lors d'une attaque au cours des 24 derniers mois, ont économisé 20,1 millions de dollars sur le coût annuel des temps d'arrêt et ont évité cinq cyber-catastrophes par an.
Revenir à l'essentiel
Alors que les cyberattaques meurtrières restent la norme, il n'a jamais été aussi essentiel pour les organisations d'infrastructures critiques de donner la priorité à la pratique et au maintien d'une bonne hygiène en matière de cybersécurité. La cyberhygiène n'a rien de révolutionnaire - il s'agit d'adopter et de mettre en pratique les principes de base, jour après jour.
En 2021, la Maison Blanche a publié un mémo décrivant les meilleures pratiques pour les organisations cherchant à se prémunir contre les attaques de ransomware en cours : assurez-vous de sauvegarder vos données, appliquez les correctifs quand on vous le demande, testez vos plans de réponse aux incidents, vérifiez le travail de votre équipe (c'est-à-dire tenez compte de l'erreur humaine) et segmentez vos réseaux, vos charges de travail et vos applications en conséquence.
Avec des bases de cybersécurité appropriées en place, les agences fédérales sont mieux positionnées pour développer les efforts de résilience en cours - comme l'accélération de leur parcours vers la confiance zéro.
Le renforcement de la résilience commence maintenant
En fin de compte, le fait de donner la priorité à des approches de cybersécurité proactives et préventives telles que la confiance zéro, et de les rendre obligatoires au niveau national, aura des effets positifs à long terme sur la position de la nation en matière de sécurité et sur sa résilience globale. Mais une bonne hygiène en matière de cybersécurité et la mise en place d'une véritable résilience sont des efforts permanents. Il est important de commencer modestement. Par exemple, commencez par segmenter vos actifs les plus critiques en les éloignant des systèmes existants. Ainsi, si une brèche se produit, elle ne peut pas se propager dans votre architecture hybride pour atteindre les informations critiques. À partir de là, vous pouvez passer à des projets de résilience plus importants et plus vastes.
Mais comme pour tout objectif, il est important de ne pas faire du "parfait" l'ennemi du bien. En d'autres termes, le fait de ne pas avoir un plan parfait ne doit pas être un obstacle pour commencer quelque part. Ce qui est important, c'est de commencer aujourd'hui. Les acteurs malveillants évoluent, émergent et changent maintenant de nom - et toute pratique d'hygiène en matière de cybersécurité (petite ou grande) contribue à renforcer la résilience de l'organisation. En fin de compte, surtout lorsqu'il s'agit d'opérations du secteur public, nous sommes tous aussi forts que le maillon le plus faible de notre chaîne d'approvisionnement.
N'oubliez pas "assumez la violation", mettez les principes de base en pratique et donnez la priorité à la sécurisation de votre infrastructure la plus critique avec des contrôles de sécurité de type "Zero Trust".
