Les directives TIC 3.0 devraient-elles modifier votre approche de la sécurité ?

Les cyberattaques contre les agences fédérales constituent une menace persistante et en constante évolution qui nécessite une réponse de plus en plus sophistiquée. L’utilisation croissante des environnements cloud et mobiles, associée à une augmentation sans précédent du nombre de travailleurs à distance, a rendu les agences plus vulnérables à la menace des pirates informatiques, des fraudeurs et des acteurs étatiques malveillants qui ont ciblé la présence en ligne étendue du gouvernement fédéral. La publication d’une version mise à jour de la politique sur les connexions Internet de confiance (TIC 3.0) place les agences dans une meilleure position pour répondre à ces nouveaux défis en matière de risques.

L’un des principaux objectifs de TIC 3.0 est de faciliter la transition des agences vers la modernisation, notamment l’adoption plus large du cloud et l’accueil des travailleurs à distance utilisant plusieurs appareils. Si votre agence évolue résolument dans ces domaines, le moment est idéal pour envisager de mettre à niveau votre approche de sécurité en utilisant les conseils TIC 3.0.

Mises à jour TIC 3.0

L’initiative TIC, lancée en 2007, a constitué une étape importante dans la cybersécurité fédérale, en établissant un cadre de contrôles de sécurité, d’analyse, de gouvernance et de pratiques SDLC application . TIC 3.0 représente les dernières directives pour le déploiement d'architectures sécurisées, flexibles et évolutives, prenant en compte des aspects au-delà de la technologie d'infrastructure.

Les trois agences supervisant l'initiative, le Bureau de la gestion et du budget (OMB), l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du Département de la sécurité intérieure (DHS) et l'Administration des services généraux (GSA), ont cité comme objectif pour TIC 3.0 de sécuriser les données, les réseaux et les frontières fédérales tout en offrant une visibilité sur le trafic des agences, y compris les communications cloud. Les principales mises à niveau incluent des conseils plus flexibles et des cas d’utilisation réels pour couvrir le besoin d’approches alternatives à la sécurité réseau traditionnelle.

Il existe actuellement quatre cas d'utilisation (TIC traditionnelle, cloud, succursale et utilisateurs distants), qui donnent aux agences la possibilité de faciliter de nouvelles solutions informatiques adaptées à l'environnement de travail en constante évolution d'aujourd'hui. Les versions précédentes des TIC n’abordaient pas efficacement le travail à distance, même s’il est devenu une pratique de plus en plus courante sur le lieu de travail. La pandémie de COVID-19 a considérablement accéléré le rythme du travail à distance, créant un besoin encore plus urgent d’une stratégie offrant un accès sécurisé et fiable aux environnements de travail non traditionnels. Avec une mise en œuvre appropriée des directives TIC 3.0, les agences seront en mesure de promouvoir un trafic réseau et périphérique sécurisé au sein des zones de confiance de l'entreprise fédérale, en l'étendant à l'ensemble du trafic de l'agence.

Évaluez votre architecture

Le manuel des cas d'utilisation TIC 3.0 conseille aux agences d'évaluer leur architecture pour déterminer quels cas d'utilisation sont applicables et explique comment elles peuvent sécuriser leurs architectures et se conformer aux exigences TIC. Je pense que c’est un excellent outil pour les agences, en particulier pour celles qui ne disposent pas des composants architecturaux requis pour des cas d’utilisation spécifiques.

Les agences sont censées sécuriser les limites du réseau conformément au mémorandum M-19-26 de l'OMB . Cependant, chaque agence est différente. C'est pourquoi il est important de garder votre mission à l'esprit lorsque vous déterminez votre approche de sécurité et d'équilibrer les stratégies proposées par TIC 3.0 avec vos propres objectifs de mission.

Le cadre de cybersécurité adapté aux agences est important

Le cadre TIC 3.0 s'appuie principalement sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST), qui comprend cinq fonctions essentielles :

Identifier: Ayez une compréhension complète de vos systèmes, de vos employés, de vos actifs, de vos données et de vos capacités afin de pouvoir évaluer et gérer les risques.

Protéger: Développer et mettre en œuvre des mesures de protection appropriées pour limiter ou contenir l’impact d’un événement potentiel de cybersécurité.

Détecter: Utilisez des solutions de surveillance continue afin de détecter rapidement la survenue d’un événement de cybersécurité.

Répondre: Élaborez un plan de réponse qui vous permettra d’agir et de contenir l’impact d’un événement de cybersécurité détecté.

Récupérer: Élaborer et mettre en œuvre un plan efficace pour restaurer les systèmes et/ou les actifs qui ont été affectés par l’incident de cybersécurité. Intégrer les leçons apprises dans une stratégie révisée.

L’élément le plus important de ce cadre est peut-être que chacune de ces fonctions est mappée à un point de contrôle de sécurité ou d’application de politique universel dans le cadre TIC 3.0. Bien qu’il soit essentiel d’utiliser l’identité pour l’accès comme point de contrôle unique, il a été révélateur d’apprendre – comme nous l’avons fait grâce à un rapport de F5 Labs – que 33 % des violations ciblaient initialement les identités. Il est donc essentiel de protéger le périmètre de l’identité .

Les proxys d'accès sont un outil efficace pour appliquer un point de contrôle unique, fournissant une méthode cohérente de mise en œuvre des contrôles d'accès et des exigences d'authentification nécessaires devant les applications. Cela élimine le besoin de faire confiance au fait que chaque développeur d'application est un expert en authentification, ce qui est un scénario peu probable.

Au fur et à mesure que vous mettez en œuvre vos normes de sécurité mises à jour, je vous recommande de mettre en place les bonnes solutions application adaptative pour répondre aux aspects appropriés des directives TIC. Vous devez suivre un continuum du code au client qui touche aux six éléments fondamentaux suivants qui intègrent et satisfont à de nombreux principes directeurs du cadre TIC 3.0, en particulier en ce qui concerne les cas d'utilisation pertinents pour votre agence :

• vue centrée sur l'application (par opposition à une vision centrée sur l'infrastructure)
• L'indépendance de la plateforme comme proposition multi-cloud
• L'open source au cœur de tout
• sécurité intégrée
• analyses intégrées/activées par l'IA
• API first pour le développement application modernes

Il est temps de revoir attentivement l’approche de sécurité de votre agence

TIC 3.0 est une excellente occasion de revoir votre approche de sécurité. En raison de l’évolution des menaces, les experts en sécurité des agences savent qu’il est important de rester vigilant. Même si la technologie évolue, l’objectif ultime reste le même : protéger votre agence.

F5 peut aider : Pratiquement tous les produits et capacités de F5 répondent à certains aspects des directives TIC, ce qui nous place dans une position solide pour respecter bon nombre des recommandations et des contrôles décrits dans TIC 3.0. Toutes les agences et branches du ministère de la Défense s'appuient sur F5 pour fournir des applications auxquelles les citoyens, les employés et les soldats peuvent accéder en toute sécurité à tout moment, sur n'importe quel appareil et depuis n'importe quel endroit. Chez F5, nous offrons à nos clients la liberté de livrer en toute sécurité chaque application, n'importe où, en toute confiance. Pour en savoir plus, consultez notre page F5 pour les solutions fédérales américaines .

Bill Église
Directeur de la technologie – F5 US Federal Solutions