.png)
Progrès de la fiducie fédérale zéro pour l'année fiscale en cours : Un expert Q&A
Avec la fin des financements fédéraux, c'est le moment idéal pour revenir sur les changements intervenus dans le domaine de la cybersécurité gouvernementale au cours de l'année fiscale écoulée. De nombreuses agences se sont attachées à renforcer leur position en matière de cybersécurité. La confiance zéro a été au centre de ces efforts, passant d'un concept de niche à une stratégie de sécurité de base.
Nous avons récemment rencontré Gary Barlet, directeur technique d'Illumio pour le secteur public, afin de discuter de l'évolution de la confiance zéro au sein du gouvernement fédéral américain.
Au cours de notre conversation, Gary a partagé ses idées sur l'état de la confiance zéro dans le gouvernement, la transformation de la confiance zéro au niveau fédéral cette année et la façon dont la technologie de la confiance zéro, comme la microsegmentation, modernise la cybersécurité au niveau fédéral.
Q : Le gouvernement fédéral américain parle de la confiance zéro depuis quelques années. Comment avez-vous vu évoluer les initiatives "zéro confiance" des agences au cours de l'année écoulée ?
R : La façon dont les gens comprennent les choses a beaucoup évolué ces dernières années. Nous avions l'habitude de passer beaucoup de temps à éduquer les gens sur la confiance zéro. Aujourd'hui, un plus grand nombre de personnes savent de quoi il s'agit. Nous passons plus de temps à discuter de ce à quoi devrait ressembler une stratégie de confiance zéro pour les besoins uniques de leur agence.
Les gens se rendent compte qu'il n'existe pas de produit à confiance zéro. La confiance zéro est une stratégie qui implique l'utilisation conjointe de plusieurs technologies.
Je pense qu'il existe encore ce que j'appellerais une fixation malsaine sur l'identité. Beaucoup de gens pensent encore que Zero Trust est synonyme d'identité, mais je commence à voir les choses changer.
Je pense que le changement le plus important que j'observe est la façon dont les gens envisagent les technologies de confiance zéro. Cela tient en grande partie à l'exposition. Les équipes de sécurité peuvent ne pas comprendre à quel point leurs réseaux sont devenus complexes. Ils ne se rendent peut-être pas compte que nous avons mis au point des moyens plus efficaces et plus faciles pour sécuriser cette complexité dans le cadre d'un modèle de confiance zéro. Il existe des moyens d'obtenir des gains rapides dès le début du parcours vers la confiance zéro qui n'étaient pas disponibles il y a quelques années.
Q : D'après votre expérience, quels sont les obstacles auxquels se heurtent les agences lorsqu'elles mettent en place la confiance zéro ?
R : Le manque de ressources est un défi majeur à l'heure actuelle. Les agences sont souvent confrontées à des budgets serrés, à un manque de personnel et à des lacunes en matière de compétences informatiques. Il leur est difficile de rivaliser avec les entreprises privées qui disposent de plus de ressources et d'avantages pour attirer des travailleurs qualifiés. Je pense que les nouvelles technologies d'intelligence artificielle peuvent contribuer à atténuer certains de ces problèmes de ressources.
Un autre défi est l'état d'esprit - et cela vaut pour le secteur public comme pour le secteur privé. Les agences visent parfois la perfection et s'enlisent. Les directives relatives à la confiance zéro, telles que le modèle de maturité de la confiance zéro de la CISA (ZTMM) et l'architecture de référence de la confiance zéro du ministère de la défense, présentent la confiance zéro comme un processus linéaire, étape par étape, dans lequel vous pouvez cocher chaque étape. Mais ce n'est pas la réalité de la mise en œuvre de Zero Trust. Il s'agit d'un processus continu. Vous devez travailler sur plusieurs domaines à la fois et accepter que vous ne serez jamais parfait, mais que vous vous améliorerez.
Il faut également changer l'idée qu'une violation est synonyme d'échec ou qu'il s'agit uniquement du problème de l'équipe de sécurité. Des failles vont se produire. Souvent, leur origine échappe au contrôle de l'équipe de sécurité, comme dans le cas d'un courriel d'hameçonnage. La cybersécurité est la responsabilité de tous. Il faut une prise de conscience de l'ensemble du gouvernement.
Q : Vous avez attiré l'attention sur le manque de compétences informatiques au sein du gouvernement fédéral. Comment les partenariats entre les secteurs public et privé, tels que ceux soutenus par FedRAMP, peuvent-ils contribuer à combler cette lacune ?
R : Les partenariats public-privé ont un effet multiplicateur. Ils offrent aux agences la flexibilité dont elles ont besoin pour s'adapter aux nouvelles technologies, aux risques et aux exigences de conformité.
Les organisations privées peuvent s'associer au gouvernement en tant que conseiller de confiance. Ils apportent des connaissances spécialisées qu'il serait souvent impossible aux équipes des agences d'acquérir. C'est un excellent moyen pour les professionnels de la sécurité des secteurs public et privé d'apprendre les uns des autres et de partager leurs idées.
Si nous pouvons partager des informations, nous éliminons les silos et améliorons ensemble la cybersécurité.
Q : Quel rôle voyez-vous l'automatisation et l'IA jouer dans la cybersécurité du gouvernement fédéral ?
R : Comme toute organisation, l' automatisation de la sécurité et l'IA peuvent aider les équipes à travailler plus rapidement et à combler le déficit de compétences. Mais le risque lié à l'utilisation de ces outils est amplifié dans l'espace gouvernemental.
Lors de la construction et de l'entraînement de modèles d'IA, il existe un risque d'exposition d'informations sensibles, y compris les données des employés et des citoyens. La technologie est si récente que nous n'avons pas encore trouvé le moyen de savoir clairement d'où proviennent les données relatives à la formation ou comment elles seront partagées publiquement.
Les modèles d'IA peuvent également comporter des biais intégrés. Les algorithmes d'IA sont conçus par des humains, et leurs données d'apprentissage proviennent souvent de données humaines. Les êtres humains ont des préjugés, qui ne sont souvent pas évidents. Il est pratiquement impossible à ce stade de repérer et de corriger les façons dont l'IA s'empare de nos préjugés. Cela peut constituer un problème majeur au sein d'un gouvernement.
Les citoyens sont tenus de s'appuyer sur les organisations gouvernementales et de partager des informations avec elles. Toute forme de partialité de la part du gouvernement pourrait nuire aux citoyens - et pourrait même avoir des conséquences sur la vie ou la mort.
.webp)
Q : À l'avenir, quel impact les technologies de confiance zéro, comme la microsegmentation, auront-elles sur les stratégies fédérales en matière de cybersécurité ?
R : Zero Trust accélère déjà la modernisation de la cybersécurité dans les agences fédérales. Les technologies telles que la microsegmentation aident les agences à s'éloigner de la prévention et de la détection des brèches pour se concentrer sur la prévention des brèches.
L'évolution positive que nous constatons est que de plus en plus de personnes reconnaissent que la sécurité est l'affaire de tous.
La technologie "zéro confiance" nécessite une meilleure visibilité du réseau et une plus grande collaboration entre les équipes. Les gens s'habituent à de meilleures protections de sécurité. Il est désormais plus courant de se demander pourquoi certaines protections ne sont pas en place plutôt que de se demander pourquoi elles le sont.
Mais à mesure que la cybersécurité devient un sujet d'actualité, je pense que nous risquons de nous reposer sur nos lauriers. Tant que le public n'exigera pas une meilleure protection, les mesures de sécurité risquent de ne pas progresser aussi rapidement que nécessaire. J'espère que des conversations plus fréquentes et de meilleure qualité sur la cybersécurité permettront de poursuivre l'élan que nous connaissons actuellement.
Instaurez une confiance zéro au sein de votre agence avec Illumio Government Cloud, désormais autorisé par FedRAMP®. Pour en savoir plus, consultez le site Place de marché FedRAMP.
.webp)
