Sean Connelly explique comment Zero Trust a modernisé la cybersécurité fédérale
L'Agence de cybersécurité et de sécurité des infrastructures (CISA) joue un rôle de premier plan dans la défense des infrastructures critiques des États-Unis contre l'évolution des cybermenaces. Elle a également joué un rôle clé en aidant le gouvernement fédéral à faire évoluer sa cybersécurité d'une stratégie traditionnelle basée sur le périmètre à une approche Zero Trust moderne.
Dans un épisode récent de The Segment : A Zero Trust Leadership Podcast, j'ai rencontré l'un des principaux architectes à l'origine de cette transition vers Zero Trust : Sean Connelly, ancien directeur de la Zero Trust Initiative de la CISA. Il a présenté un aperçu des changements transformateurs en matière de cybersécurité fédérale, de l'évolution des périmètres des réseaux et des conseils pratiques à tous ceux qui se lancent dans la démarche Zero Trust.
Poursuivez votre lecture pour obtenir un résumé de notre discussion.
À propos Sean Connelly
Sean est une figure de proue de cybersécurité fédérale, qui a joué un rôle crucial dans l'élaboration des initiatives de la CISA au cours de la dernière décennie. Il a fait progresser le modèle de cybersécurité Zero Trust, essentiel à la stratégie de défense du gouvernement fédéral. Il a également dirigé le développement du premier modèle de maturité Zero Trust et a co-écrit l'architecture Zero Trust du NIST.
Plus tôt cette année, il a lancé le Bureau de l'initiative CISA Zero Trust fournir aux agences gouvernementales la formation et les ressources dont elles ont besoin pour renforcer leurs mesures de cybersécurité.
Comment la CISA a contribué à moderniser la cybersécurité fédérale
Au milieu des années 2000, les réseaux des agences fédérales se développaient rapidement et les connexions réseau à Internet avaient atteint un nombre alarmant. La surface d'attaque s'agrandissait. Sean a reconnu que le gouvernement fédéral devait trouver un moyen de réduire les risques au sein de l'administration fédérale.
Sean et l'équipe CISA se sont associés à d'autres agences de cybersécurité américaines pour créer le Connexions Internet sécurisées (TIC) initiative en 2007. L'objectif était de limiter le nombre de passerelles sur les réseaux gouvernementaux. Il exige que tout le trafic Internet fédéral soit acheminé via une agence agréée par le TIC.
Au départ, l'accent était mis sur la sécurisation du périmètre du réseau, qui reposait sur un modèle de réseau traditionnel en étoile. Mais au fil du temps, les leaders fédéraux de la cybersécurité tels que Sean ont réalisé qu'ils avaient besoin d'une approche plus décentralisée et axée sur les données avec l'essor de nuage et technologie mobile.
« À l'époque déjà, Cisco et le Jericho Forum avaient évoqué la nécessité d'une périmétrisation approfondie », a-t-il expliqué. « L'un de leurs commandements était le suivant : « Plus vous pouvez placer la sécurité au plus près des données, mieux c'est ». Et c'est logique, non ? »
Le TIC est passé à la version 2.0, puis à la version 3.0, ce qui encourage désormais les agences à adopter des services cloud et Zero Trust pour se protéger contre le paysage complexe des menaces d'aujourd'hui. TIC 3.0 se concentre sur une approche plus flexible et basée sur les risques que les versions précédentes du programme TIC.
Sean a qualifié TIC 3.0 de « nouvelle aventure » pour la cybersécurité fédérale. Cela a permis de trouver un meilleur équilibre entre la sécurité des données et la sécurité du réseau. Il s'agit également d'une étape clé dans l'adoption par le gouvernement fédéral d'une approche Zero Trust.
Création du modèle de maturité Zero Trust de la CISA
Une partie importante de ce « nouveau voyage » a consisté à fournir aux agences des informations pratiques sur la construction Confiance zéro. Zero Trust a nécessité un changement d'état d'esprit de la part des agences, mais les dirigeants d'agences avaient également besoin de détails tactiques sur la manière de réaliser Zero Trust.
Sean a dirigé les efforts de la CISA pour créer le Modèle de maturité Zero Trust (ZTMM), publié en 2021. La ZTMM est l'une des feuilles de route les plus importantes que les agences fédérales peuvent utiliser pour progresser vers Zero Trust.
Le ZTMM marque une étape majeure dans l'adoption du Zero Trust par le gouvernement fédéral. En effet, il fournit un langage commun aux agences lors de la création de leurs plans Zero Trust. Sean avait reconnu la nécessité de disposer de conseils précis lorsqu'il s'agissait de créer Zero Trust. À l'époque, chaque agence avait une conception différente de Zero Trust. Cela semait la confusion quant à ce à quoi ressemblait Zero Trust dans la pratique et à la manière dont il s'appliquait aux mandats de sécurité fédéraux. Il a noté : « Vous pouvez introduire un langage dans les politiques, mais les agences veulent tout de même savoir : « Est-ce vraiment ce que vous voulez dire ? »
Après la publication de la première version, la CISA s'est jointe à d'autres agences de cybersécurité et à des PME pour discuter des progrès et de la maturité de Zero Trust, agence par agence. Cela a donné lieu à plus de 100 réunions, y compris celles avec des fournisseurs, des universités et des gouvernements internationaux. La CISA a ajouté ces commentaires à la deuxième version du ZTMM, publiée en 2022.
« Cela a trouvé un écho », a déclaré Sean en évoquant le nombre de fois où il a vu le graphique montagnard de la ZTMM dans des présentations et des articles. « Mais je pense que le taquin, c'est que lorsque vous atteignez le sommet de cette montagne, c'est vraiment une chaîne de montagnes. »
Sean a souligné que Zero Trust n'est jamais complet ; c'est un voyage continu. « Nous allons déplacer le drapeau, nous déplacerons les poteaux de but à un moment donné à mesure que la technologie évoluera », a-t-il expliqué. « Nous devons toujours ajouter de nouvelles méthodes pour créer Zero Trust. » À cette fin, Sean considère le ZTMM comme un document évolutif qui devrait refléter en permanence l'état actuel de la cybersécurité.
5 étapes vers le Zero Trust
Selon Sean, s'il devait se rendre à une réunion avec des personnes qui commencent tout juste leur parcours Zero Trust, il leur recommanderait de commencer par Rapport NSTAC Zero Trust. Ce guide, créé en collaboration avec John Kindervag, créateur de Zero Trust et évangéliste en chef d'Illumio, décrit cinq étapes pour créer un programme Zero Trust.
Voici un résumé des cinq étapes dont nous avons discuté :
- Définissez la surface de protection : Identifiez ce qui doit être protégé.
- Cartographier les flux de transactions : Documentez les flux de données et de communication au sein de votre organisation, y compris les interactions entre le système, le client-serveur et l'organisation.
- Construisez l'architecture : Développez une architecture de sécurité centrée sur les données avec des mesures de sécurité proches des actifs protégés, en utilisant les signaux du réseau, des périphériques hôtes et de l'identité.
- Créez des politiques dynamiques : Établissez des politiques adaptables qui répondent à l'évolution des conditions, en tenant compte des interactions client-serveur et organisationnelles.
- Manifestez, surveillez et gérez : Créez, surveillez et gérez en permanence l'environnement Zero Trust pour garantir une sécurité et une conformité continues.
Écoutez, abonnez-vous et révisez le podcast The Segment : A Zero Trust
Vous voulez en savoir plus ? Écoutez l'épisode complet avec Sean sur notre site, Podcasts Apple, Spotify ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire la transcription complète de l'épisode.
Nous reviendrons bientôt avec plus d'informations sur Zero Trust !