Une infrastructure critique résiliente commence par Zero Trust

Cet article a été initialement publié sur Mérite Talk le 30 juin 2022.

À partir du Violation du pipeline Colonial à la Attaque de ransomware JBS, l'année dernière nous a montré que les cyberattaques contre les infrastructures critiques des États-Unis sont plus incessantes, sophistiquées et impactantes que jamais, et menacent trop souvent la stabilité économique et le bien-être des citoyens américains.

C'est pourquoi la protection des infrastructures critiques reste au cœur des préoccupations du gouvernement fédéral. L'administration Biden en 2021 Décret exécutif sur l'amélioration de la cybersécurité du pays (EO) a défini des mandats et des exigences de sécurité spécifiques que les agences doivent respecter avant l'exercice 2024 afin de renforcer la résilience de l'organisation et de la chaîne d'approvisionnement. L'un des éléments essentiels spécifiquement évoqués par l'EO est la progression vers une architecture Zero Trust, c'est-à-dire une cybersécurité. méthodologie introduit pour la première fois il y a près de dix ans et fondé sur les principes du « moindre privilège » et de la « présomption de violation ».

En mars 2022, le président Biden a réaffirmé l'EO de 2021 avec son « Déclaration... sur la cybersécurité de notre pays », désignant à nouveau Zero Trust comme une meilleure pratique en matière de cybersécurité alors que les États-Unis cherchent à améliorer la cybersécurité nationale et à renforcer la résilience nationale à la suite de l'émergence d'un conflit mondial. En outre, le Loi de 2022 sur le signalement des cyberincidents pour les infrastructures critiques promulguée en mars 2022, obligera les opérateurs d'infrastructures du secteur privé à signaler les cyberincidents et les paiements de rançongiciels au gouvernement, renforçant ainsi l'accent mis par les États-Unis sur la protection des infrastructures critiques.

Adopter la « présomption de violation »

Afin de renforcer les efforts de résilience en cours, les organisations du gouvernement fédéral et du secteur privé doivent commencer à adopter une approche proactive en matière de cybersécurité. Cela commence par une refonte de la façon dont nous abordons fondamentalement la sécurité.

La transformation numérique a considérablement élargi la surface d'attaque. Aujourd'hui, l'architecture informatique moderne est de plus en plus une combinaison hybride d'environnements sur site, de clouds publics et de clouds multiples, ce qui ouvre de nouvelles portes aux attaquants, non seulement pour accéder, mais également pour se déplacer facilement entre les environnements. Alors que la fréquence et la gravité des violations continuent d'augmenter, notre secteur adopte rapidement une »supposer une violation» état d'esprit : comprendre que même avec les meilleures technologies de détection préventive et rapide, les violations sont aller se produire.

Pensez aux récents changements du secteur de la cybersécurité de cette façon : la première ère de la sécurité était uniquement axée sur la protection. Dans un centre de données sur site clos, l'accent était mis sur la sécurité du périmètre : construisez un mur numérique et empêchez les méchants d'entrer. Il y a une dizaine d'années, une vague de brèches très médiatisées nous a fait prendre conscience qu'un mur ne pouvait pas complètement empêcher les méchants d'entrer. À partir de là, l'accent est passé de la sécurité uniquement périmétrique à la deuxième ère de la sécurité, axée sur la détection et la réponse rapides : trouvez le méchant rapidement après qu'il ait escaladé le mur.

Nous sommes maintenant dans la troisième vague de sécurité : concentrez-vous sur le confinement et l'atténuation. C'est là que les fonctionnalités Zero Trust telles que Segmentation Zero Trust (c'est-à-dire la microsegmentation) peut aider. Par exemple, si des acteurs malveillants accèdent à une agence fédérale, la segmentation Zero Trust peut aider à limiter leur impact en limitant l'intrusion dans un seul système compromis, limitant ainsi considérablement l'accès aux données sensibles.

En fait, selon une étude récente de ESG, les entreprises qui tirent parti de la segmentation Zero Trust ont 2,1 fois plus de chances d'avoir évité une panne critique lors d'une attaque au cours des 24 derniers mois, d'avoir économisé 20,1 millions de dollars sur le coût annuel des interruptions de service et d'avoir évité cinq cybercatastrophes par an.

Revenir à l'essentiel

Alors que les cyberattaques dévastatrices restent la norme, il n'a jamais été aussi essentiel pour les organisations chargées des infrastructures critiques de donner la priorité à la mise en œuvre et à la maintenance de cybersécurité hygiène. La cyberhygiène n'a rien de révolutionnaire : il s'agit d'adopter et de mettre en pratique les principes de base, jour après jour.

En 2021, la Maison Blanche a publié un note en décrivant les meilleures pratiques clés pour les organisations qui cherchent à se protéger contre les attaques continues de rançongiciels : assurez-vous de sauvegarder vos données, appliquez des correctifs lorsqu'on vous demande de le faire, testez vos plans de réponse aux incidents, revérifiez le travail de votre équipe (c'est-à-dire tenez compte des erreurs humaines) et segmentez vos réseaux, vos charges de travail et vos applications en conséquence.

Une fois les bases de cybersécurité en place, les agences fédérales sont mieux placées pour développer leurs efforts de résilience en cours, notamment en accélérant leur parcours Zero Trust.

Le renforcement de la résilience commence maintenant

En fin de compte, le fait de donner la priorité à des approches de cybersécurité proactives et préventives telles que Zero Trust, et de les rendre obligatoires au niveau national, aura des avantages positifs à long terme sur la posture de sécurité et la résilience globale du pays. Mais une bonne hygiène en matière de cybersécurité et le renforcement d'une véritable résilience sont des efforts continus. Il est important de commencer petit. Par exemple, commencez par segmenter vos actifs les plus critiques en les éloignant des systèmes existants. Ainsi, en cas de violation, elle ne pourra pas se propager à travers votre architecture hybride pour atteindre des informations critiques. À partir de là, vous pouvez passer à des projets de résilience de plus grande envergure.

Mais comme pour tout objectif, il est important de ne pas faire de la « perfection » l'ennemi du bien. En d'autres termes, ne pas avoir un plan parfait ne devrait pas être un obstacle pour commencer quelque part. L'important, c'est de commencer aujourd'hui. Les mauvais acteurs évoluent, émergent et maintenant changement de marque — et toute pratique d'hygiène en matière de cybersécurité (grande ou petite) contribue à renforcer la résilience des organisations. En fin de compte, en particulier en ce qui concerne les opérations du secteur public, nous sommes tous aussi forts que le maillon le plus faible de notre chaîne d'approvisionnement.

N'oubliez pas de « supposer une violation », de mettre les bases en pratique et de donner la priorité à la sécurisation de votre infrastructure la plus critique avec des contrôles de sécurité Zero Trust.