Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience
Charlie Bedell
Responsable du marketing de contenu
Illumio Editorial
Août 9, 2022
23 min. lire

3 enseignements du décret 14028 sur la confiance zéro

In May 2021, the Biden Administration issued Executive Order (EO) 14028, charging federal agencies with the task of enhancing cybersecurity and specifically recommending Zero Trust security practices.  

Ce décret fait suite à la pandémie de grippe aviaire COVID-19, qui a accéléré la transformation numérique de nombreuses organisations des secteurs public et privé. Presque du jour au lendemain, les entreprises se sont tournées vers le travail à distance et la migration vers le cloud est devenue une exigence plus immédiate.

In addition, multiple high-profile cyberattacks significantly impacted supply chains, including SolarWinds, Colonial Pipeline, and JBS meat processing

Aujourd'hui, un an après l'adoption du décret 14028, il est possible de faire le point sur les progrès accomplis dans la mise en œuvre de la confiance zéro au sein des agences fédérales.  

Illumio’s Gary Barlet, Federal Field CTO, joined Nicolas M. Chaillan, former CISO of the U.S. Air Force and Space Force, to discuss the impact of EO 14028 in a webinar organized by the Institute of Critical Infrastructure Technology (ICIT).  

Regardez le webinaire ici :

Poursuivez votre lecture pour découvrir les trois principaux enseignements de leur discussion.

Le décret 14028 a contribué à renforcer la mise en œuvre de la confiance zéro 

Barlet et Chaillan reconnaissent tous deux que des progrès ont été réalisés en matière de confiance zéro depuis le décret de mai dernier. L'ordonnance a aidé les équipes de sécurité des agences fédérales - et des organisations privées - à poursuivre les discussions et à obtenir un financement pour les initiatives "Zero Trust".  

Comme l'ont dit Barlet et Chaillan, "un décret ne fait jamais de mal". 

Plus important encore, les équipes de sécurité disposent désormais de preuves étayées par le gouvernement pour les stratégies de sécurité "Zero Trust".  

"Il est beaucoup plus utile pour ceux qui essaient de mettre en œuvre la confiance zéro d'avoir quelque chose à montrer et à utiliser comme référence", a déclaré M. Barlet.  

Pour de nombreuses agences, les discussions sur la confiance zéro ont commencé avec le décret. Selon M. Challain, elle a contribué à faire évoluer les mentalités sur la question de la confiance zéro, en éloignant le consensus des modèles traditionnels de cybersécurité pour le rapprocher des meilleures pratiques modernes. 

This follows Zero Trust’s growing private-sector success in the last few years — and shows how far the federal government and military are lagging in cybersecurity. 

"Les deux prochaines années seront une période intéressante, avec davantage de succès pour Zero Trust. C'est un changement de mentalité qui est nécessaire pour réussir", a expliqué M. Barlet.  

Les agences fédérales utilisent la confiance zéro pour minimiser l'impact des failles inévitables

Beyond an executive order, Zero Trust has real benefits for protecting organizations against today’s sophisticated cyber threats.

Legacy security tools have focused on the perimeter, but the dispersed, hyper-connected nature of modern networks means the perimeter no longer exists the way it once did. This leaves networks vulnerable to attack. 

"On entend, année après année, des gens dépenser tout cet argent pour prévenir une violation, mais il n'y a pas de discussion sur ce qui se passe après une violation", a déclaré M. Barlet.  

A Zero Trust strategy assumes breaches will occur and offers ways to mitigate the impact of an attack once it occurs.  

However, both Barlet and Challain agree that there has been some confusion about what Zero Trust means in practice – and how it fits into existing security architectures.  

"La confiance zéro semble impliquer que vous n'allez pas essayer de prévenir les violations, ce qui n'est pas le cas", a expliqué M. Barlet. "Nous n'allons pas renoncer à essayer de prévenir une violation, mais prévoyons également cette erreur ou cette vulnérabilité qui permet à une violation de s'introduire et comment nous pouvons prévenir une attaque catastrophique".  

Overall, Barlet and Challain recommended agencies get visibility into network flows, turn off unnecessary communication, and implement Zero Trust Segmentation, also known as microsegmentation, to limit the spread of a breach.  

Segmentation zéro confiance pour les agences fédérales : Il faut bien commencer quelque part 

Bien que l'idée de segmenter le réseau existe depuis des années, Barlet et Challain ont discuté de la manière dont les réseaux tentaculaires d'aujourd'hui rendent les méthodes de segmentation traditionnelles utilisant les adresses IP ou les VLAN presque impossibles. Ils préconisent tous deux que la segmentation se fasse à une échelle beaucoup plus réduite.  

En particulier, M. Barlet a déclaré que les réseaux ont besoin d'une segmentation de confiance zéro pour se protéger contre le nombre toujours croissant d'utilisateurs, d'applications et d'environnements qui ouvrent des vulnérabilités aux attaquants.  

Despite the pressing need for Zero Trust Segmentation, Barlet and Challain noted that many agencies are overwhelmed by the process.  

"Vous devez savoir qui accède à quoi, où et quand. Ensuite, vous devez savoir lesquels de ces flux de communication sont inutiles et peuvent être bloqués. Si l'on considère l'ensemble de ces questions, c'est très intimidant", a déclaré M. Barlet. 

There’s no need to complete an entire Zero Trust Segmentation project at once. Barlet and Challain recommend an incremental approach to avoid high costs, confusion, and potential administrative bloat. 

"N'essayez pas de tout faire en même temps. Il suffit de commencer quelque part", a déclaré M. Barlet.  

En réduisant dès le départ le champ d'application d'un projet de segmentation zéro confiance, Barlet et Challain ont convenu que les agences pouvaient.. : 

  • Évitez de vous laisser submerger par les détails. 
  • Améliorer immédiatement leur position en matière de cybersécurité
  • Vous aurez l'occasion de prouver l'efficacité de Zero Trust pour de futures initiatives. 

"La seule façon d'avancer dans votre parcours Zero Trust est de commencer. Le succès engendre le succès", a déclaré M. Barlet. 

Obtenez plus d'informations sur Illumio et Zero Trust Segmentation :  

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

Les directives de sécurité NIS2 et DORA de l'UE : Ce que vous devez savoir
Cyber-résilience

Les directives de sécurité NIS2 et DORA de l'UE : Ce que vous devez savoir

Découvrez les 3 façons dont la segmentation zéro confiance d'Illumio peut aider à atteindre la conformité NIS2 et DORA.

En savoir plus
Prenez les trois mesures suivantes si votre agence gouvernementale ne suscite aucune confiance
Cyber-résilience

Prenez les trois mesures suivantes si votre agence gouvernementale ne suscite aucune confiance

La confiance zéro est un voyage, pas une destination. Bénéficiez de l'expertise de Gary Barlet sur les prochaines étapes à suivre par les agences et les commandements dans le cadre de la construction de la confiance zéro.

En savoir plus
Sécurité des centres de données et de l'informatique en nuage - Pourquoi nous avons besoin d'une révolution
Cyber-résilience

Sécurité des centres de données et de l'informatique en nuage - Pourquoi nous avons besoin d'une révolution

Les révolutions se produisent pour de bonnes raisons. Ils sont le résultat d'une divergence entre les attentes et la réalité, ce qui provoque une frustration refoulée qui pousse au changement. Les anciennes méthodes ne correspondent plus aux nouvelles exigences et la pression atteint un point d'ébullition où il n'y a pas d'autre option que d'opérer ce changement.

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus