Sean Connelly explique comment Zero Trust a modernisé la cybersécurité au niveau fédéral

L'agence pour la cybersécurité et la sécurité des infrastructures (CISA) est à l'avant-garde de la défense des infrastructures essentielles des États-Unis contre les cybermenaces en constante évolution. Elle a également joué un rôle clé en aidant le gouvernement fédéral à faire évoluer sa cybersécurité d'une stratégie traditionnelle basée sur le périmètre vers une approche moderne de type "Zero Trust".

Dans un récent épisode de The Segment : A Zero Trust Leadership Podcast, je me suis entretenu avec l'un des principaux architectes du passage à la confiance zéro : Sean Connelly, ancien directeur de l'initiative "Zero Trust" de la CISA. Il a présenté les changements qui ont transformé la cybersécurité au niveau fédéral, l'évolution des périmètres de réseau et des conseils pratiques à l'intention de tous ceux qui s'engagent dans la voie de la "confiance zéro".

Poursuivez votre lecture pour obtenir un récapitulatif de notre discussion.

À propos de Sean Connelly

Sean est une figure de proue de la cybersécurité au niveau fédéral. Il a joué un rôle crucial dans l'élaboration des initiatives de la CISA au cours de la dernière décennie. Il a fait progresser le modèle de cybersécurité "Zero Trust", essentiel à la stratégie de défense du gouvernement fédéral. Il a également dirigé le développement du premier modèle de maturité de la confiance zéro et a coécrit l'architecture de la confiance zéro du NIST.  

Au début de l'année, il a lancé le Bureau de l'initiative "confiance zéro" de la CISA afin de fournir aux agences gouvernementales la formation et les ressources dont elles ont besoin pour renforcer leurs mesures de cybersécurité.

Comment la loi CISA a contribué à moderniser la cybersécurité au niveau fédéral

Au milieu des années 2000, les réseaux des agences fédérales se développaient rapidement et les connexions à l'internet atteignaient un nombre alarmant. La surface d'attaque s'agrandit. Sean a reconnu que le gouvernement fédéral devait trouver un moyen de réduire les risques dans l'ensemble de l'administration fédérale.

Sean et l'équipe CISA se sont associés à d'autres agences américaines de cybersécurité pour créer l'initiative Trusted Internet Connections (TIC) en 2007. L'objectif était de limiter le nombre de passerelles sur les réseaux gouvernementaux. Elle exige que tout le trafic Internet fédéral soit acheminé par l'intermédiaire d'une agence approuvée par le TIC.  

Dans un premier temps, l'accent a été mis sur la sécurisation du périmètre du réseau, qui dépendait d'un modèle de réseau traditionnel en étoile. Mais au fil du temps, les responsables fédéraux de la cybersécurité, comme Sean, ont réalisé qu'ils avaient besoin d'une approche plus décentralisée et axée sur les données, avec l'essor des technologies mobiles et de l'informatique en nuage.  

"Déjà à l'époque, Cisco et le Jericho Forum mentionnaient la nécessité d'une périmétrie approfondie", explique-t-il. L'un de leurs commandements était : "Plus vous pouvez rapprocher la sécurité des données, mieux c'est". Et c'est logique, n'est-ce pas ?"

La TIC a évolué vers la version 2.0, puis vers la version 3.0, qui encourage désormais les agences à adopter les services en nuage et la confiance zéro pour se protéger contre le paysage complexe des menaces d'aujourd'hui. TIC 3.0 se concentre sur une approche plus flexible, basée sur le risque, que les versions précédentes du programme TIC.  

M. Sean a qualifié les TIC 3.0 de "nouvelle voie" pour la cybersécurité au niveau fédéral. Cela a conduit à un meilleur équilibre entre la sécurité des données et la sécurité du réseau. Il s'agit également d'une étape clé dans l'adoption par le gouvernement fédéral d'une approche de confiance zéro.

Construire le modèle de maturité de la confiance zéro de la CISA

Une partie importante de ce "nouveau voyage" a consisté à fournir aux agences des informations pratiques sur l'établissement d'une confiance zéro. La confiance zéro exigeait un changement d'état d'esprit de la part des agences, mais les dirigeants d'agences avaient également besoin de détails tactiques sur la manière de mettre en œuvre la confiance zéro.

Sean a dirigé les efforts de la CISA pour créer le modèle de maturité de la confiance zéro (ZTMM), publié en 2021. Le ZTMM est l'une des feuilles de route les plus importantes que les agences fédérales peuvent utiliser pour progresser vers la confiance zéro.

Le ZTMM est un jalon important dans l'adoption de la confiance zéro par le gouvernement fédéral. En effet, il fournit un langage commun aux agences lors de l'élaboration de leurs plans "Zero Trust". Sean a reconnu la nécessité d'une orientation précise en ce qui concerne l'instauration de la confiance zéro. À l'époque, chaque agence avait une compréhension différente de la notion de confiance zéro. Elle a semé la confusion sur la nature de la confiance zéro dans la pratique et sur la manière dont elle s'appliquait aux mandats fédéraux en matière de sécurité. Il a fait remarquer que "vous pouvez mettre des termes dans une politique, mais les agences veulent toujours savoir si c'est ce que vous voulez vraiment dire".

Après la publication de la première version, la CISA s'est jointe à d'autres agences cybernétiques et à des PME pour discuter, agence par agence, des progrès et de la maturité de la confiance zéro. Plus de 100 réunions ont ainsi été organisées, notamment avec des fournisseurs, des universités et des gouvernements internationaux. La CISA a ajouté ces commentaires à la deuxième version du ZTMM, publiée en 2022.

"Il a trouvé un écho", a déclaré Sean, rappelant le nombre de fois où il a vu le graphique de la montagne de la ZTMM dans des présentations et des articles. "Je pense que ce qui est intéressant, c'est que lorsque vous arrivez au sommet de cette montagne, il s'agit en fait d'une chaîne de montagnes.

Sean a insisté sur le fait que la confiance zéro n'est jamais achevée ; c'est un processus continu. "Nous déplacerons le drapeau, nous déplacerons les poteaux de but à un moment donné, au fur et à mesure que la technologie évoluera", a-t-il expliqué. "Nous devons toujours trouver de nouveaux moyens de renforcer la confiance zéro. À cette fin, Sean considère le ZTMM comme un document évolutif qui doit refléter en permanence l'état actuel de la cybersécurité.  

5 étapes vers la confiance zéro

Selon Sean, s'il devait participer à une réunion avec des personnes qui commencent à peine leur voyage vers la confiance zéro, il leur recommanderait de commencer par le rapport du NSTAC sur la confiance zéro. Ce guide, créé en collaboration avec John Kindervag, créateur de Zero Trust et évangéliste en chef d'Illumio, décrit les cinq étapes de la mise en place d'un programme Zero Trust.  

Voici un aperçu des cinq étapes que nous avons abordées :

1. Définissez la surface à protéger : Identifiez ce qui doit être protégé.

2. Cartographier les flux de transactions : Documentez les flux de données et de communication au sein de votre organisation, y compris les interactions système, client-serveur et organisationnelles.

3. Construire l'architecture : Développez une architecture de sécurité centrée sur les données avec des mesures de sécurité proches des actifs protégés, en utilisant les signaux du réseau, des dispositifs hôtes et de l'identité.

4. Créer des politiques dynamiques : Établissez des politiques adaptables qui répondent à des conditions changeantes, en tenant compte des interactions client-serveur et organisationnelles.

5. Manifester, surveiller et maintenir : Créez, surveillez et entretenez en permanence l'environnement de confiance zéro afin de garantir une sécurité et une conformité continues.

Écoutez, abonnez-vous et commentez The Segment : Un podcast sur la confiance zéro

Souhaitez-vous en savoir plus ? Écoutez l'épisode complet avec Sean sur notre site web, Apple Podcasts, Spotify ou ailleurs. Vous pouvez également lire la transcription complète de l'épisode. 

Nous reviendrons bientôt avec d'autres informations sur la confiance zéro !