À bien des égards, l’année écoulée a été marquée par de nombreux revers : la pandémie de COVID, le ralentissement économique, les suppressions d’emplois et, pire encore, de trop nombreuses vies perdues. Heureusement, de nombreux éléments du système américain se sont montrés relativement résilients face à ces revers. Au cours de cette même période, de nombreux événements de cybersécurité ont eu lieu, certains à petite échelle et d’autres plus médiatisés. La violation de SolarWinds a été un signal d'alarme pour la communauté de la cybersécurité, où une compromission de la chaîne d'approvisionnement de logiciels a non seulement affecté la victime initiale, mais également toutes les entités commerciales et les agences fédérales qui utilisent leurs logiciels. Les organisations informatiques ressentent et calculent encore les conséquences de cette attaque et continueront de le faire pendant un certain temps. Bien que cette attaque ait fait la une des journaux en dehors de la communauté informatique, elle n’a pas eu beaucoup de répercussions au niveau des consommateurs. Cependant, cette attaque s’est avérée être le signe avant-coureur d’une autre qui allait non seulement affecter la technologie dans son ensemble, mais aussi directement le public américain. La violation du pipeline Colonial a démontré à quel point nos systèmes sont vulnérables et la capacité d’une attaque à provoquer des perturbations généralisées dans la société américaine. Je sais, je cherchais de l’essence samedi dernier…
Le décret du 12 mai sur l’amélioration de la cybersécurité nationale définit une approche à plusieurs volets sur la manière d’atténuer ces types d’attaques. Comme expliqué ci-dessous, une défaillance dans l’une des capacités de détection, de signalement, d’utilisation de mesures de protection en temps opportun et, en fin de compte, de défense contre la menace peut entraîner un effet en cascade sur la réussite ou non de la déjouation de la menace. Autrement dit: Les attaquants n’ont besoin d’avoir raison qu’une seule fois. Les professionnels de la cybersécurité doivent toujours avoir raison.
Le concept de Zero Trust existe depuis un certain temps. Le gouvernement fédéral a été principalement initié au Zero Trust sous la forme de l’effort de modernisation TIC 3.0, qui repose essentiellement sur le Zero Trust. L'initiative TIC 3.0 a été créée en raison de la nécessité pour les agences fédérales de permettre aux données et services fédéraux de résider en dehors de la limite de sécurité de l'agence via des services cloud. Malheureusement, la sécurisation adéquate des données sensibles partagées entre les fournisseurs de cloud et les agences n’atteint pas un seuil de risque acceptable, et le récent décret exécutif le souligne.
Le gouvernement fédéral doit être en mesure d’obtenir des données sur les menaces auprès de ses partenaires pour rester au courant des dernières menaces à la sécurité. Le NIST a fait un excellent pas en avant pour répondre à la question de savoir ce que Zero Trust devrait signifier pour le gouvernement fédéral avec la SP 800-207 .
De nombreuses agences et entreprises souffrent encore d’angles morts au sein de leur organisation de cybersécurité. Si les attaques ne peuvent pas être vues, elles ne peuvent pas être détectées, signalées et atténuées. La visibilité est devenue un problème encore plus important en raison de la prolifération des protocoles SSL/TLS dans ce qui était traditionnellement considéré comme des parties sécurisées/internes du réseau, en raison de la nécessité de crypter toutes les transmissions de données. De plus, la visibilité est essentielle pour que le paradigme Zero Trust fonctionne correctement, car le point d'application de la politique Zero Trust (PEP) doit disposer de toutes les données nécessaires pour prendre la décision appropriée quant à l'autorisation ou non de l'accès.
La visibilité des menaces est essentielle à leur détection, avec la création de rapports, la surveillance et la capacité à partager les renseignements sur les menaces en fonction des priorités. Un partage approprié des renseignements sur les menaces fournit un mécanisme permettant de confirmer potentiellement une menace ou la gravité du risque qu’une menace représente. Plus important encore, il fournit aux analystes de cybersécurité toutes les données nécessaires pour quantifier une nouvelle menace.
Des initiatives telles que CDM sont en cours depuis un certain temps pour contribuer à la consolidation et à la communication des données sur les menaces. Certains processus et certaines collectes de renseignements sur les menaces sont bien en deçà des normes requises, en particulier en raison de la persistance d’angles morts importants dans certains réseaux. Cela conduit à un effet en cascade sur l’ensemble du paysage de la protection de la cybersécurité. En fin de compte, les équipes de cybersécurité doivent voir toutes les transactions et données du client à l’application pour fournir les évaluations les plus significatives des menaces possibles. Le partage sans entrave des renseignements sur les menaces doit exister au sein de l’écosystème des partenaires fédéraux. Le partage de renseignements sur les menaces est également essentiel pour détecter les menaces pesant sur la chaîne d’approvisionnement en logiciels.
De nouvelles menaces apparaîtront sans aucun doute et elles obligeront les équipes de cybersécurité à déployer des mesures de protection supplémentaires ou nouvelles. La question est de savoir à quelle vitesse les équipes de cybersécurité peuvent déployer des protections de manière sécurisée et non perturbatrice ? De toute évidence, la capacité à détecter et à être agile est désormais impérative pour assurer une protection adéquate. L’informatique connaît actuellement une évolution majeure en devenant plus agile. Être capable de fournir rapidement et en toute sécurité des applications modernes avec moins de perturbations a été baptisé DevSecOps. Cette pratique de développement moderne permet aux organisations de devenir plus agiles dans la manière dont elles utilisent les protections de cybersécurité de manière sûre et non perturbatrice.
Les mesures de sécurité par défaut mises en place par les fournisseurs de cloud ont permis d’intégrer la sécurité sur site dans les environnements cloud et sont devenues une force motrice derrière les déploiements cloud. Pourtant, les consommateurs de cloud font souvent preuve de foi en pensant que les fournisseurs de cloud font « ce qu’il faut » en matière de cybersécurité, tout en abandonnant un certain niveau de contrôle des données et de sécurité au fournisseur. Le partage d’informations entre les fournisseurs de cloud et les agences doit faire partie de l’écosystème des partenaires fédéraux pour offrir une sécurité plus complète.
Chacun de ces locataires est tenu d’atteindre un niveau de cybersécurité plus élevé. Apprenez-en davantage sur la manière dont F5 Government Solutions peut vous aider à atteindre et à dépasser le niveau de sécurité associé au récent décret exécutif sur la cybersécurité ici .
Par Ryan Johnson, responsable de l'ingénierie des solutions – F5 U.S. Solutions fédérales