Blogue
/
Cyber-résilience

Les 3 vérités Zero Trust de John Kindervag pour les agences gouvernementales

Charlie Bedell
,
Spécialiste principal du marketing de contenu
February 2, 2024
23 min. de lecture
The Federal Tech Podcast logo

Au cours des dernières années, le secteur public américain a reçu une multitude de conseils sur Confiance zéro — à partir de Le modèle de maturité Zero Trust de la CISA pour RÉFÉRÉ 14028 et NIST SP 800-207. Cela peut sembler être une quantité écrasante d'informations à trier ou à savoir par où commencer dans votre agence.

C'est pourquoi le podcast Federal Tech s'est réuni dans un épisode récent avec John Kindervag, parrain et créateur de Zero Trust et évangéliste en chef d'Illumio, pour comprendre les trois vérités clés à propos de Zero Trust. Ces informations sont essentielles pour aider les agences à trouver et à rester sur la bonne voie en matière de conformité Mandats Zero Trust.

1. Vous ne pouvez pas appliquer Zero Trust d'un seul coup

Selon Kindervag, l'une des principales idées fausses à propos de Zero Trust, en particulier au sein du gouvernement fédéral, est que vous pouvez atteindre Zero Trust en une seule fois et dans un délai précis.

Cependant, c'est loin de la façon dont il a conçu la stratégie.

« C'est un voyage que l'on entreprend et que l'on poursuit pour toujours », explique Kindervag.

Il est essentiel pour les agences de créer Zero Trust dès maintenant résilience des missions. Mais il est impossible de savoir quand votre agence atteindra le niveau Zero Trust total, car il s'agit d'un effort continu. Kindervag a déclaré que les questions les plus importantes que les agences devraient se poser sont les suivantes : que ils sécurisent, pas quand.

« Je ne m'inquiète pas tant pour le temps que pour la mise en place des incitations et des programmes appropriés », a déclaré Kindervag.

Il recommande aux agences de commencer par une approche complète de bout en bout visibilité dans leur environnement. Grâce à cette information, ils peuvent voir où risque mensonges, donnez la priorité à la sécurisation des zones les plus à risque et les plus critiques pour la mission, puis travaillez sur une surface de protection à la fois : « Vous construisez Zero Trust en morceaux », a-t-il déclaré.

2. Zero Trust n'est pas difficile

Kindervag a créé la stratégie de sécurité Zero Trust pour qu'elle trouve un écho dans l'ensemble de l'organisation, qu'il s'agisse de la haute direction ou des professionnels de la sécurité. À cette fin, la stratégie a été conçue pour être simple à comprendre et à mettre en œuvre.

« Pourquoi tous ces gens font-ils passer Zero Trust pour autant ? » il a plaisanté. « C'est progressif. Vous le faites une surface de protection à la fois. »

En faisant de l'application un processus itératif, les équipes de sécurité peuvent se concentrer sur un système, une application ou une ressource à la fois, du plus critique au moins critique. L'un des principaux avantages de cette solution est qu'elle perturbe peu ou pas la mission.

« Vous implémentez des contrôles Zero Trust, une surface de protection après l'autre, sans interruption », explique Kindervag. « Tout ce que l'on peut gâcher, c'est une surface de protection. On ne peut pas bousiller l'ensemble du réseau ou de l'environnement. »

3. Implémentez Zero Trust de manière proactive

Zero Trust repose sur le fait que les violations sont inévitables ; il reflète les meilleures pratiques en matière de stratégie de sécurité pour la surface d'attaque moderne.

« La surface d'attaque est comme l'univers : elle est en constante expansion », explique Kindervag.

Les outils de sécurité traditionnels de prévention et de détection ont été conçus à une époque où les environnements informatiques étaient beaucoup plus petits, plus simples et regroupés dans un périmètre unique. Aujourd'hui, les réseaux sont complexes, distribués et dépourvus de périmètre.

UNE Architecture Zero Trust aide les agences à gérer le risque accru résultant de cette évolution. « Zero Trust inverse le problème en le réduisant à une surface petite et facile à identifier, appelée surface de protection », explique Kindervag.

Bien que les outils de prévention et de détection soient toujours importants, ils ne suffisent pas pour se protéger contre les cybermenaces en constante évolution. Il est essentiel que les agences mettent en place une sécurité proactive à la fois pour l'extérieur du réseau et intérieur. Les technologies Zero Trust, y compris des outils fondamentaux tels que Segmentation Zero Trust (ZTS), aident les agences à se préparer de manière proactive aux violations.

« Beaucoup de personnes ne feront rien tant que quelque chose de grave ne se produira pas », explique Kindervag, soulignant qu'il s'agit d'une façon dépassée de concevoir la sécurité. « C'est comme lorsqu'une tempête de grêle survient et que vous vouliez souscrire une assurance pour votre voiture. Que vous dit la compagnie d'assurance ? Non, c'est trop tard. »

« Vous devez vous placer devant la sécurité, pas derrière », a recommandé Kindervag.

Les 5 étapes du Zero Trust

Kindervag encourage les agences à suivre ses processus en cinq étapes pour la mise en œuvre de Zero Trust alors qu'ils mettent en place la conformité Zero Trust :

  1. Définissez votre surface de protection : Vous ne pouvez pas contrôler la surface d'attaque car elle évolue constamment, mais vous pouvez réduire la surface de protection de votre organisation en de petites parties faciles à identifier. La surface de protection comprend généralement un élément de données, un service ou un actif unique.
  1. Cartographier les communications et les flux de trafic : Vous ne pouvez pas protéger le système sans comprendre comment il fonctionne. La visibilité de vos environnements permet de savoir où les contrôles sont nécessaires.
  1. Concevez l'environnement Zero Trust : Une fois que vous aurez obtenu une visibilité complète sur le réseau, vous pourrez commencer à mettre en œuvre des contrôles adaptés à chaque surface de protection.
  1. Créez des politiques de sécurité Zero Trust : Élaborez des politiques qui fournissent une règle granulaire permettant au trafic d'accéder à la ressource dans la surface protégée.
  1. Surveiller et entretenir le réseau : Réinjectez la télémétrie dans le réseau, en créant une boucle de rétroaction qui améliore continuellement la sécurité et crée un système résilient et antifragile.

Illumio peut aider votre agence à suivre ces cinq étapes de votre parcours Zero Trust. En savoir plus sur la façon dont nous soutenons agences gouvernementales, et nous contacter aujourd'hui pour commencer.

Sujets connexes

Gouvernement

Articles connexes

3 manières dont Illumio a dirigé l'innovation en matière de cybersécurité en septembre 2023
Cyber-résilience

3 manières dont Illumio a dirigé l'innovation en matière de cybersécurité en septembre 2023

Découvrez ce que les chefs d'entreprise et les meilleurs experts en sécurité d'Illumio ont à dire à propos des pare-feu, de la sécurité du cloud et de l'innovation en matière d'IA par Illumio ce mois-ci.

En savoir plus
Sécurité des centres de données et du cloud : pourquoi nous avons besoin d'une révolution
Cyber-résilience

Sécurité des centres de données et du cloud : pourquoi nous avons besoin d'une révolution

Les révolutions se produisent pour une bonne raison. Ils sont le résultat d'une divergence entre les attentes et la réalité, qui provoque une frustration refoulée qui incite à un changement. Les anciennes méthodes ne répondent plus aux nouvelles exigences et la pression atteint un point d'ébullition où il n'y a pas d'autre choix que de procéder à ce changement.

En savoir plus
Cyber Monday : les joyaux de votre situation sont-ils protégés pendant les fêtes de fin d'année ?
Cyber-résilience

Cyber Monday : les joyaux de votre situation sont-ils protégés pendant les fêtes de fin d'année ?

Une protection adéquate n'est pas éphémère, comme le glossaire des produits Starbucks pour les fêtes. Une bonne sécurité doit être intégrée et prise en compte tout au long de l'année.

En savoir plus
6 recommandations d'experts sur la confiance zéro pour les agences gouvernementales
Cyber-résilience

6 recommandations d'experts sur la confiance zéro pour les agences gouvernementales

Découvrez les 6 recommandations clés du récent webinaire GovExec sur la mise en œuvre de Zero Trust et la segmentation des applications.

En savoir plus
4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre
Cyber-résilience

4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre

Découvrez pourquoi les responsables de la cybersécurité insistent sur la nécessité de passer à un état d'esprit Zero Trust pour s'adapter aux nouvelles menaces.

En savoir plus
5 points à retenir de Zero Trust, ancien directeur informatique fédéral Gary Barlet
Segmentation Zero Trust

5 points à retenir de Zero Trust, ancien directeur informatique fédéral Gary Barlet

Découvrez pourquoi Gary Barlet, directeur technique fédéral d'Illumio, voit dans Zero Trust une nouvelle approche globale de la cybersécurité, et pas simplement une nouvelle façon de gérer les anciens problèmes de sécurité.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus