3 enseignements du décret 14028 sur la confiance zéro

En mai 2021, l'administration Biden a publié le décret 14028, chargeant les agences fédérales de renforcer la cybersécurité et recommandant spécifiquement des pratiques de sécurité de type "Zero Trust".  

Ce décret fait suite à la pandémie de grippe aviaire COVID-19, qui a accéléré la transformation numérique de nombreuses organisations des secteurs public et privé. Presque du jour au lendemain, les entreprises se sont tournées vers le travail à distance et la migration vers le cloud est devenue une exigence plus immédiate.

En outre, plusieurs cyberattaques très médiatisées ont eu des répercussions importantes sur les chaînes d'approvisionnement, notamment SolarWinds, Colonial Pipeline et JBS meat processing. 

Aujourd'hui, un an après l'adoption du décret 14028, il est possible de faire le point sur les progrès accomplis dans la mise en œuvre de la confiance zéro au sein des agences fédérales.  

Gary Barlet d'Illumio, Federal Field CTO, s'est joint à Nicolas M. Chaillan, ancien CISO de l'U.S. Air Force et de la Space Force, pour discuter de l'impact de l'EO 14028 lors d'un webinaire organisé par l'Institute of Critical Infrastructure Technology (ICIT).  

Regardez le webinaire ici :

Poursuivez votre lecture pour découvrir les trois principaux enseignements de leur discussion.

Le décret 14028 a contribué à renforcer la mise en œuvre de la confiance zéro 

Barlet et Chaillan reconnaissent tous deux que des progrès ont été réalisés en matière de confiance zéro depuis le décret de mai dernier. L'ordonnance a aidé les équipes de sécurité des agences fédérales - et des organisations privées - à poursuivre les discussions et à obtenir un financement pour les initiatives "Zero Trust".  

Comme l'ont dit Barlet et Chaillan, "un décret ne fait jamais de mal". 

Plus important encore, les équipes de sécurité disposent désormais de preuves étayées par le gouvernement pour les stratégies de sécurité "Zero Trust".  

"Il est beaucoup plus utile pour ceux qui essaient de mettre en œuvre la confiance zéro d'avoir quelque chose à montrer et à utiliser comme référence", a déclaré M. Barlet.  

Pour de nombreuses agences, les discussions sur la confiance zéro ont commencé avec le décret. Selon M. Challain, elle a contribué à faire évoluer les mentalités sur la question de la confiance zéro, en éloignant le consensus des modèles traditionnels de cybersécurité pour le rapprocher des meilleures pratiques modernes. 

Cette initiative fait suite au succès croissant de Zero Trust dans le secteur privé au cours des dernières années et montre à quel point le gouvernement fédéral et l'armée sont à la traîne en matière de cybersécurité. 

"Les deux prochaines années seront une période intéressante, avec davantage de succès pour Zero Trust. C'est un changement de mentalité qui est nécessaire pour réussir", a expliqué M. Barlet.  

Les agences fédérales utilisent la confiance zéro pour minimiser l'impact des failles inévitables

Au-delà d'un décret, la confiance zéro présente de réels avantages pour la protection des organisations contre les cybermenaces sophistiquées d'aujourd'hui.

Les outils de sécurité traditionnels se sont concentrés sur le périmètre, mais la nature dispersée et hyperconnectée des réseaux modernes signifie que le périmètre n'existe plus comme avant. Les réseaux sont donc vulnérables aux attaques. 

"On entend, année après année, des gens dépenser tout cet argent pour prévenir une violation, mais il n'y a pas de discussion sur ce qui se passe après une violation", a déclaré M. Barlet.  

Une stratégie de confiance zéro part du principe qu'il y aura des violations et propose des moyens d'atténuer l'impact d'une attaque une fois qu'elle a eu lieu.  

Cependant, Barlet et Challain reconnaissent tous deux qu'il y a eu une certaine confusion sur la signification pratique de la confiance zéro et sur la manière dont elle s'intègre dans les architectures de sécurité existantes.  

"La confiance zéro semble impliquer que vous n'allez pas essayer de prévenir les violations, ce qui n'est pas le cas", a expliqué M. Barlet. "Nous n'allons pas renoncer à essayer de prévenir une violation, mais prévoyons également cette erreur ou cette vulnérabilité qui permet à une violation de s'introduire et comment nous pouvons prévenir une attaque catastrophique".  

Dans l'ensemble, Barlet et Challain recommandent aux agences d'avoir une visibilité sur les flux du réseau, de désactiver les communications inutiles et de mettre en œuvre la segmentation zéro confiance, également connue sous le nom de microsegmentation, afin de limiter la propagation d'une brèche.  

Segmentation zéro confiance pour les agences fédérales : Il faut bien commencer quelque part 

Bien que l'idée de segmenter le réseau existe depuis des années, Barlet et Challain ont discuté de la manière dont les réseaux tentaculaires d'aujourd'hui rendent les méthodes de segmentation traditionnelles utilisant les adresses IP ou les VLAN presque impossibles. Ils préconisent tous deux que la segmentation se fasse à une échelle beaucoup plus réduite.  

En particulier, M. Barlet a déclaré que les réseaux ont besoin d'une segmentation de confiance zéro pour se protéger contre le nombre toujours croissant d'utilisateurs, d'applications et d'environnements qui ouvrent des vulnérabilités aux attaquants.  

Malgré le besoin pressant d'une segmentation sans confiance, Barlet et Challain ont noté que de nombreuses agences sont dépassées par le processus.  

"Vous devez savoir qui accède à quoi, où et quand. Ensuite, vous devez savoir lesquels de ces flux de communication sont inutiles et peuvent être bloqués. Si l'on considère l'ensemble de ces questions, c'est très intimidant", a déclaré M. Barlet. 

Il n'est pas nécessaire de mener à bien un projet complet de segmentation zéro confiance en une seule fois. Barlet et Challain recommandent une approche progressive afin d'éviter les coûts élevés, la confusion et le gonflement potentiel de l'administration. 

"N'essayez pas de tout faire en même temps. Il suffit de commencer quelque part", a déclaré M. Barlet.  

En réduisant dès le départ le champ d'application d'un projet de segmentation zéro confiance, Barlet et Challain ont convenu que les agences pouvaient.. : 

• Évitez de vous laisser submerger par les détails. 
• Améliorer immédiatement leur position en matière de cybersécurité. 
• Vous aurez l'occasion de prouver l'efficacité de Zero Trust pour de futures initiatives. 

"La seule façon d'avancer dans votre parcours Zero Trust est de commencer. Le succès engendre le succès", a déclaré M. Barlet. 

Obtenez plus d'informations sur Illumio et Zero Trust Segmentation :  

• Apprenez-en plus sur la façon dont les organisations gouvernementales peuvent arrêter la propagation des brèches avec Illumio.
• Téléchargez les rapports Forrester Wave qui désignent Illumio comme leader dans les domaines du Zero Trust et de la microsegmentation.   
• Faites l'évaluation de l'impact de la confiance zéro du GSE pour savoir comment tirer le meilleur parti de votre stratégie de confiance zéro. 
• Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.