3 points à retenir du décret exécutif 14028 sur la confiance zéro

En mai 2021, l'administration Biden a publié Décret exécutif (EO) 14028, chargeant les agences fédérales de renforcer la cybersécurité et recommandant spécifiquement Pratiques de sécurité Zero Trust.

L'EO a fait suite à la pandémie de COVID-19, qui a accéléré la transformation numérique de nombreuses organisations des secteurs public et privé. Presque du jour au lendemain, les entreprises sont passées au travail à distance et la migration vers le cloud est devenue une nécessité plus immédiate.

En outre, de multiples cyberattaques très médiatisées ont eu un impact significatif sur les chaînes d'approvisionnement, notamment Vents solaires, Pipeline Colonial, et Traitement de la viande JBS.

Aujourd'hui, un an après l'EO 14028, il est possible de regarder en arrière et de voir quels progrès ont été réalisés dans la mise en œuvre Zero Trust entre les agences fédérales.

Gary Barlet, directeur technique fédéral d'Illumio, s'est joint à Nicolas M. Chaillan, ancien CISO de l'armée de l'air et de l'armée de l'espace américaines, pour discuter de l'impact de l'EO 14028 lors d'un webinaire organisé par le Institut de technologie des infrastructures critiques (ICIT).

Regardez le webinaire ici :

Poursuivez votre lecture pour découvrir les trois principaux points à retenir de leur discussion.

L'EO 14028 a contribué à renforcer la mise en œuvre de Zero Trust

Barlet et Chaillan conviennent qu'il y a eu des progrès vers Zero Trust depuis le décret de mai dernier. La commande a aidé les équipes de sécurité des agences fédérales — et des organisations privées — à poursuivre les discussions et à obtenir des fonds pour les initiatives Zero Trust.

Comme l'ont dit Barlet et Chaillan, « Un décret ne fait jamais de mal ».

Plus important encore, les équipes de sécurité disposent désormais de preuves étayées par le gouvernement pour les stratégies de sécurité Zero Trust.

« Il est beaucoup plus utile pour ceux qui essaient de mettre en œuvre Zero Trust d'avoir quelque chose à indiquer et à utiliser comme référence », a déclaré Barlet.

Et pour de nombreuses agences, les discussions sur Zero Trust ont débuté avec le décret. Selon Challain, cela a contribué à faire changer l'opinion des gens à propos de Zero Trust, en éloignant le consensus des modèles de cybersécurité traditionnels au profit des meilleures pratiques modernes.

Cela suit Le succès croissant de Zero Trust dans le secteur privé ces dernières années — et montre à quel point le gouvernement fédéral et l'armée sont à la traîne en matière de cybersécurité.

« Les deux prochaines années seront une période intéressante avec d'autres succès de Zero Trust. C'est un changement de mentalité qui est nécessaire pour réussir », explique Barlet.

Les agences fédérales utilisent Zero Trust pour minimiser l'impact des violations inévitables

Au-delà d'un ordre exécutif, Zero Trust présente de réels avantages pour protéger les entreprises contre les cybermenaces sophistiquées d'aujourd'hui.

Outils de sécurité existants se sont concentrés sur le périmètre, mais la nature dispersée et hyperconnectée des réseaux modernes signifie que le périmètre n'existe plus comme il le faisait autrefois. Cela rend les réseaux vulnérables aux attaques.

« Histoire après histoire, année après année, nous entendons des gens dépenser tout cet argent pour essayer de prévenir une violation, mais il n'y a aucune discussion sur ce qui se passe après une violation se produit », a déclaré Barlet.

UNE La stratégie Zero Trust suppose que des violations se produiront et propose des moyens d'atténuer l'impact d'une attaque une fois qu'elle se produit.

Barlet et Challain conviennent toutefois qu'il y a eu quelques confusion quant à ce que signifie Zero Trust dans la pratique — et comment il s'intègre aux architectures de sécurité existantes.

« Zero Trust semble impliquer que vous n'allez pas essayer de prévenir les violations, mais ce n'est pas le cas », explique Barlet. « Nous n'allons pas renoncer à essayer de prévenir une violation, mais planifions également cette erreur ou cette vulnérabilité qui permet à une violation de pénétrer et comment nous pouvons empêcher une attaque catastrophique. »

Dans l'ensemble, Barlet et Challain ont recommandé aux agences d'obtenir une visibilité sur les flux réseau, de désactiver les communications inutiles et de mettre en œuvre la segmentation Zero Trust, également connue sous le nom de microsegmentation, afin de limiter la propagation d'une brèche.

Segmentation Zero Trust pour les agences fédérales : il suffit de commencer quelque part

Bien que l'idée de segmenter le réseau soit présente depuis des années, Barlet et Challain ont discuté de la manière dont les réseaux tentaculaires actuels rendent pratiquement impossibles les méthodes de segmentation traditionnelles utilisant des adresses IP ou des VLAN. Ils préconisent tous deux une segmentation à une échelle beaucoup plus réduite.

En particulier, Barlet a indiqué que les réseaux nécessitent Confiance zéro Segmentation pour vous protéger contre le nombre toujours croissant d'utilisateurs, d'applications et d'environnements qui présentent des vulnérabilités auxquelles les attaquants peuvent accéder.

Malgré le besoin urgent d'une segmentation Zero Trust, Barlet et Challain ont noté que de nombreuses agences sont dépassées par le processus.

« Vous devez savoir qui accède à quoi, où et quand. Ensuite, vous devez savoir lesquels de ces flux de communication sont inutiles et peuvent être bloqués. Lorsque vous prenez toutes ces questions dans leur ensemble, c'est très intimidant », a déclaré Barlet.

Il n'est pas nécessaire de mener à bien un projet de segmentation Zero Trust complet en une seule fois. Barlet et Challain recommandent une approche progressive afin d'éviter les coûts élevés, la confusion et un éventuel surcroît de travail administratif.

« N'essayez pas de tout faire en même temps. Il suffit de commencer quelque part », a déclaré Barlet.

En réduisant la portée d'un projet de segmentation Zero Trust dès le départ, Barlet et Challain ont convenu que les agences pouvaient :

• Évitez de vous laisser submerger par les détails.
• Améliorez immédiatement leur cybersécurité posture.
• Saisissez l'opportunité de prouver l'efficacité de Zero Trust pour de futures initiatives.

« La seule façon d'arriver à quelque chose dans votre parcours Zero Trust est de commencer. Le succès engendre le succès », a déclaré Barlet.

Pour en savoir plus sur Illumio et Zero Trust Segmentation :

• En savoir plus sur la façon dont organisations gouvernementales peut arrêter la propagation des violations grâce à Illumio.
• Téléchargez les rapports Forrester Wave désignant Illumio comme leader à la fois en matière de Zero Trust et microsegmentation.
• Répondez à l'évaluation d'impact Zero Trust d'ESG pour savoir comment tirer le meilleur parti de votre stratégie Zero Trust.
• Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.