BLOG

Utiliser la loi sur la modernisation des technologies gouvernementales pour améliorer la cybersécurité (maintenant)

Miniature de Michael Coleman
Michael Coleman
Publié le 10 septembre 2020

Lorsque la loi sur la modernisation des technologies gouvernementales (MGT Act) a été promulguée en 2017, son objectif était de fournir aux agences des fonds qu'elles peuvent appliquer à leurs efforts de modernisation informatique, y compris ceux liés à la cybersécurité. Les agences pourraient demander un financement auprès du Fonds de modernisation technologique, conçu pour les aider à abandonner les systèmes existants et à investir dans des technologies agiles et transformatrices.

Il s’avère que la mise en place de la loi MGT s’est avérée encore plus visionnaire que quiconque aurait pu l’imaginer.

En raison de la COVID-19, la nécessité de moderniser les systèmes de cybersécurité existants et de migrer vers le cloud s’est considérablement accélérée. La pandémie a également ouvert la porte aux pirates informatiques insidieux qui peuvent exploiter les vulnérabilités à travers un large éventail de tactiques, allant des ransomwares aux attaques DDoS/DoS et bien plus encore. En effet, plus tôt cette année, les États-Unis Le ministère de la Sécurité intérieure et le Centre national de cybersécurité du Royaume-Uni ont émis un avertissement sévère concernant une augmentation des logiciels malveillants et des ransomwares.

Bien entendu, les menaces à la sécurité étaient en augmentation bien avant la COVID-19. Selon un rapport publié par Verizon au début de la pandémie, les ransomwares représentaient 61 % des incidents liés aux logiciels malveillants dans le secteur public, 33 % des violations étant causées par des initiés. Et, un rapport de début 2020 de la Cybersecurity & Infrastructure Security Agency (CISA) note que « les cyberacteurs étrangers continuent d'exploiter des vulnérabilités logicielles connues du public – et souvent obsolètes – contre de larges groupes de cibles, y compris des organisations des secteurs public et privé ».

Il n'y a pas de périmètre

Mais la COVID-19 a élargi la surface d’attaque. Le travail à distance est désormais la norme et les utilisateurs s’appuient de plus en plus sur des applications basées sur le cloud. Alors que de plus en plus d’employés du gouvernement travaillent à domicile, les exigences de capacité et de sécurité ont submergé les systèmes et les processus.

Ces facteurs posent des défis aux équipes de sécurité informatique chargées de sécuriser des réseaux de plus en plus distribués et un éventail d’applications potentiellement vulnérables. Alors qu’auparavant ils s’appuyaient sur des solutions de sécurité traditionnelles pour défendre le périmètre de leur réseau, aujourd’hui, il n’existe pratiquement plus de périmètres.

À ce titre, les organisations devraient envisager d’investir les fonds de la loi MGT dans plusieurs formes de protection dynamique pour garantir leur sécurité sur différents fronts. Par exemple, la surveillance de l’accès des utilisateurs privilégiés et la mise en œuvre de protocoles de gestion des identités garantissent que seules les bonnes personnes ont accès à un réseau et à des informations hautement sensibles. Parallèlement, les outils de sécurité des applications offrent une protection contre les vulnérabilités des API, les injections, les attaques de script intersite, etc.

Les organisations doivent également s’assurer que leurs politiques de sécurité sont cohérentes sur les plates-formes cloud multi-cloud ou hybrides, ce qui peut offrir une grande flexibilité et des avantages en termes de coûts, mais également introduire une énorme complexité. Les différents fournisseurs de cloud adhèrent à différentes politiques, notamment des modèles de responsabilité partagée qui établissent que le client est responsable de la sécurité des données, et il peut être difficile d’obtenir une image claire de la sécurité des applications sur plusieurs clouds. L'automatisation de la sécurité sur site et dans divers environnements cloud peut garantir que les applications sont soumises aux mêmes politiques et restent sécurisées quel que soit l'endroit où elles sont hébergées.

Un cadre pour réussir

Alors que les agences envisagent d’investir leurs fonds disponibles dans de nouvelles technologies de cybersécurité, elles devraient également commencer à élaborer des cadres de cybersécurité pour les aider à mettre ces technologies à profit. Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) constitue un point de départ idéal.

Le cadre de cybersécurité du NIST aide les agences à établir de meilleures pratiques de gestion des risques en adoptant une approche holistique du cycle de vie de la gestion des risques. En utilisant les directives établies par le NIST, les agences évaluent et atténuent en permanence les risques grâce à cinq fonctions essentielles : identifier, protéger, détecter, réagir et récupérer. Les technologies susmentionnées s’intègrent parfaitement dans toutes ces catégories, car elles offrent une visibilité sur les vulnérabilités potentielles et les moyens d’y remédier en cas de violation.

Le cadre de cybersécurité du NIST est un outil utile car il offre aux organisations une structure standardisée grâce à laquelle elles peuvent créer des programmes de sécurité hautement adaptatifs. Il offre une flexibilité permettant aux organisations de le personnaliser pour répondre à leurs propres besoins uniques tout en fournissant un modèle commun pour gérer les risques et traiter les vulnérabilités. Les organisations peuvent intégrer leurs propres politiques de sécurité dans le Framework tout en tirant parti des normes et des meilleures pratiques recommandées par le NIST.

Ne payez pas le prix

Selon un récent rapport de Ponemon, le coût moyen d’une violation de données s’élève à 3,86 millions de dollars. C'est stupéfiant, d'autant plus que de nombreuses organisations, y compris les agences gouvernementales, sont désormais invitées à faire plus avec moins, alors que les budgets continuent de se restreindre en raison de la pandémie.

De toute évidence, les agences ne peuvent pas se permettre de baisser la garde, au sens propre comme au sens figuré. Il est désormais temps d’investir une partie de l’argent disponible grâce à la loi MGT dans des solutions de cybersécurité modernes et automatisées qui protégeront contre les menaces en constante évolution, économisant ainsi à la fois des données et potentiellement des millions de dollars. Découvrez comment les solutions F5 aident les agences fédérales à sécuriser leurs réseaux, à réduire les coûts et à réussir leurs missions.


Par Michael Coleman, responsable de l'ingénierie des solutions fédérales chez F5