Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Prenez les trois mesures suivantes si votre agence gouvernementale ne suscite aucune confiance

Gary Barlet
Architecte principal de solutions, secteur public
Illumio Editorial
Juillet 18, 2024
23 min. lire

Il est clair pour moi que la confiance zéro est passée d'une nouvelle idée à une pratique courante, en particulier au sein du gouvernement fédéral. Les agences comprennent ce qu'est la confiance zéro et s'efforcent de l'inclure dans leurs plans de cybersécurité.  

C'est un grand changement par rapport à il y a quelques années, lorsque de nombreuses agences étaient encore en train d'apprendre ce qu'est la confiance zéro et pourquoi elle est importante.

L'adoption de la confiance zéro au sein du gouvernement est une bonne chose, mais les initiatives en matière de sécurité ne doivent pas s'arrêter là. Dans cet article de blog, je vous fais part de mes réflexions sur les prochaines étapes que les agences et les directions devraient franchir dans leur parcours vers la confiance zéro.

Comment la confiance zéro s'est-elle imposée au sein du gouvernement fédéral ?

L'évolution vers la confiance zéro dans le secteur fédéral reflète une tendance plus large dans de nombreuses industries. Ce changement est principalement dû à une prise de conscience accrue et à des mandats tels que :

Le grand nombre de formations et d'informations disponibles a fait de la confiance zéro un élément clé des plans fédéraux de cybersécurité. Les agences disposent désormais d'un guide clair pour l'utilisation de Zero Trust, ce qui facilite son intégration dans leurs systèmes de sécurité.

Cette utilisation généralisée ne concerne pas seulement le gouvernement. Les entreprises ont également commencé à utiliser Zero Trust. Selon l'étude de Forrester sur la sécurité, 2023:  

  • 72% des responsables de la sécurité dans les entreprises (1 000 employés ou plus) prévoient de lancer un programme Zero Trust ou l'ont déjà fait.
  • 78% ont déjà investi des ressources dans un plan de sécurité "Zero Trust".  

Cette évolution importante vers la confiance zéro témoigne d'un grand changement dans le domaine de la cybersécurité. Au lieu d'essayer de détecter et de prévenir les attaques, la confiance zéro part du principe que des brèches se produiront et se prépare de manière proactive à les empêcher de se propager.  

Colonnes en noir et blanc, drapeau américain et bâtiment de la capitale

3 prochaines étapes pour les agences qui développent la confiance zéro

Maintenant que la confiance zéro est largement acceptée, les agences doivent se concentrer sur la suite de leur parcours. Voici les principaux points sur lesquels vous devez vous concentrer :

1. Créez une microsegmentation

La confiance zéro est impossible sans microsegmentation, également appelée segmentation de confiance zéro (ZTS). Alors que la microsegmentation était considérée comme une mesure de sécurité plus avancée, elle est aujourd'hui considérée comme un élément de base de la confiance zéro que tout le monde doit mettre en œuvre.

S'appuyer sur les méthodes de sécurité traditionnelles pour protéger votre réseau n'est plus suffisant.

La microsegmentation divise un réseau en petites parties distinctes afin d'empêcher les brèches de se propager dans le réseau. Vos données et applications les plus critiques sont ainsi sécurisées et les attaquants ont plus de mal à les perturber.  

2. Automatisez autant que possible

Les réseaux et les organisations devenant de plus en plus complexes, il est clair que nous avons plus que jamais besoin de l'automatisation de la cybersécurité. Faire les choses à la main ne permet tout simplement pas de faire face à toutes les nouvelles menaces et aux nombreuses tâches nécessaires pour assurer la sécurité de l'ensemble.

L'automatisation permet de résoudre plusieurs problèmes importants :

  • Complexité du réseau : Les réseaux actuels sont vastes et complexes, ce qui rend difficile la gestion manuelle de la sécurité. L'automatisation aide les organisations à mettre en place des règles de sécurité cohérentes dans tous les environnements.
  • Manque de compétences : Des recherches menées par le Forum économique mondial ont révélé une pénurie de 3,4 millions d'experts en cybersécurité. Il est clair que la pénurie de compétences en matière de cybersécurité ne cesse de croître. L'automatisation permet de combler le déficit de compétences en effectuant les tâches routinières, ce qui permet aux équipes de sécurité de se concentrer sur des problèmes plus complexes.
  • L'erreur humaine : Les processus manuels vous exposent à des erreurs de sécurité. L'automatisation réduit ce risque en limitant le nombre de travaux manuels dans le réseau. Des outils comme l'IA peuvent aider à construire la sécurité avec moins d'erreurs.

Le passage à une approche "shift-left" signifie que de plus en plus d'équipes DevSecOps construisent la sécurité en premier lieu au cours d'un projet. En ajoutant l'automatisation au début du développement, les organisations peuvent éviter les problèmes et les pertes de temps liés à l'ajout ultérieur de la sécurité. Cette méthode de travail contribue à renforcer la sécurité et à la rendre plus apte à relever les défis.

3. Consolider les outils de sécurité et la prise de décision

Les cybermenaces devenant plus intelligentes, les agences consolident leurs outils et stratégies de sécurité. Cette consolidation est motivée par le besoin de cohérence, d'accessibilité financière et d'une meilleure utilisation des ressources. En faisant de la sécurité une décision de plus haut niveau, les organisations peuvent rationaliser leurs efforts et améliorer la sécurité globale.

Lorsque j'étais directeur informatique du bureau de l'inspecteur général des services postaux américains, j'ai travaillé avec l'équipe pour passer à un modèle consolidé de prise de décision en matière de sécurité. Bien que ces changements ne soient pas faciles à mettre en œuvre, ils vous permettent d'utiliser les ressources plus efficacement, de réduire la complexité et d'améliorer la sécurité.

2 points à surveiller lors de votre parcours Zero Trust

La mise en place d'une démarche de confiance zéro peut améliorer la cybersécurité de votre organisation. Mais il y a des défis importants à relever. Il s'agit là de deux points essentiels auxquels vous devez veiller pour vous assurer que votre travail sur un plan "Zero Trust" se déroule sans encombre.

1. Trop d'importance accordée à la sécurité de l'identité

À un moment donné, les cyber-experts pensaient que s'ils parvenaient à protéger correctement l'identité, la plupart des problèmes de sécurité seraient résolus. C'était il y a 30 ans, et le nombre de violations ne cesse d'augmenter. Quelque chose ne fonctionne pas. Si l'identité reste un pilier important de la confiance zéro, il est clair aujourd'hui que l'identité n'est pas la meilleure solution pour mettre fin aux cyberattaques.

Je pense que la raison pour laquelle la sécurité de l'identité est devenue si populaire est qu'elle est facile à comprendre et à faire accepter par toutes les fonctions. Mais ce n'est pas parce que c'est simple que c'est la meilleure façon de sécuriser les réseaux et les données.  

Il est important que nous nous concentrions autant, sinon plus, sur la sécurité du réseau. John Kindervag décrit souvent les réseaux comme ayant une carapace solide mais un désordre liquide à l'intérieur. Sans technologies de confinement des brèches telles que la microsegmentation, il n'y a aucun moyen d'arrêter les logiciels malveillants qui échappent aux outils d'identification.

2. Laisser le parfait être l'ennemi du bien

Il est nécessaire de faire évoluer les mentalités en ce qui concerne l'appropriation de la sécurité. Et ce n'est pas seulement le cas dans le secteur public, c'est très répandu.

Nous ne pouvons pas nous attendre à ce que la sécurité d'aujourd'hui soit parfaite. Des violations se produiront, et nous devons être prêts à en réduire les effets sur nos activités.

Nous ne pouvons pas blâmer l'équipe de sécurité pour chaque problème cybernétique. La responsabilité de la cybersécurité doit être assumée par tous les membres de l'entreprise, et non par une seule équipe ou un seul dirigeant. Ce changement de mentalité est vraiment important pour faire de la sécurité une priorité dont tout le monde se préoccupe.

Homme noir et blanc courant devant le bâtiment de la capitale

L'avenir de la cybersécurité du gouvernement fédéral

La confiance zéro est un voyage, pas une destination. La cybersécurité ne cessant d'évoluer, il est essentiel que les agences et les commandements s'assurent qu'ils planifient et se préparent pour l'avenir.

Le regroupement de ces stratégies aidera les agences à mieux gérer les défis liés à la cybersécurité. Il est important de mettre à jour et d'adapter régulièrement ces stratégies afin de rester à l'affût des nouvelles cybermenaces et de préserver la sécurité des données.

Contactez dès aujourd'hui nos experts fédéraux en cybersécurité pour savoir comment Illumio peut vous aider à mettre en place votre initiative Zero Trust.

Sujets connexes

Government

Articles connexes

La confiance zéro peut-elle combler le fossé de l'équité cybernétique ?
Cyber Resilience

La confiance zéro peut-elle combler le fossé de l'équité cybernétique ?

Nicole Tisdale, chef de file en matière de cyberpolitique, vous expliquera comment la cybersécurité peut protéger à la fois nos institutions et les personnes qu'elles servent.

Read more
5 conseils du stratège en chef de la sécurité de Cylera sur la confiance zéro
Cyber Resilience

5 conseils du stratège en chef de la sécurité de Cylera sur la confiance zéro

Apprenez-en plus sur la sécurité de l'HIoT et de l'OT médical et sur la manière dont vous pouvez renforcer les opérations de soins de santé avec Zero Trust.

Read more
Recentrez-vous sur la cyber-résilience : 3 bonnes pratiques pour améliorer votre cyber-résilience
Cyber Resilience

Recentrez-vous sur la cyber-résilience : 3 bonnes pratiques pour améliorer votre cyber-résilience

Découvrez comment la cyber-résilience peut vous aider dans la situation malheureuse où une brèche active est détectée sur votre réseau.

Read more
Les 3 vérités de John Kindervag sur la confiance zéro pour les agences gouvernementales
Cyber Resilience

Les 3 vérités de John Kindervag sur la confiance zéro pour les agences gouvernementales

John Kindervag vous explique les principales vérités sur la confiance zéro que les agences gouvernementales doivent connaître pour se conformer aux mandats de la confiance zéro.

Read more
6 Recommandations d'experts sur la confiance zéro pour les agences gouvernementales
Cyber Resilience

6 Recommandations d'experts sur la confiance zéro pour les agences gouvernementales

Obtenez les 6 recommandations clés du récent webinaire de GovExec sur la mise en œuvre de Zero Trust et la segmentation des applications.

Read more
10 raisons pour lesquelles les États et les collectivités locales devraient mettre en œuvre la segmentation zéro confiance
Segmentation sans confiance

10 raisons pour lesquelles les États et les collectivités locales devraient mettre en œuvre la segmentation zéro confiance

Découvrez comment les administrations nationales et locales peuvent tirer parti de la microsegmentation pour sécuriser leurs données, actifs et systèmes critiques.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more