.png)
6 recommandations d'experts sur la confiance zéro pour les agences gouvernementales
Le secteur public est confronté à de grandes questions en ce qui concerne les approches en matière de cybersécurité. Que peut-on faire pour réduire les vulnérabilités et limiter la propagation des violations ? Quelles stratégies sont essentielles pour améliorer la cyberrésilience dans un contexte de menaces en constante évolution ?
Pour le savoir, Gary Barlet, directeur technique fédéral d'Illumio, a récemment rejoint les experts gouvernementaux en cybersécurité, le Dr Mark A. Stanley, responsable de l'agence Zero Trust à la NASA, et Gerald J. Caron, directeur de l'information de l'Administration du commerce international, sur GovExec TV pour discuter de la segmentation des applications et de son rôle dans l'architecture Zero Trust pour le secteur public.
Poursuivez votre lecture pour découvrir les six recommandations clés issues de leur discussion sur la mise en œuvre de Zero Trust et la segmentation des applications.
1. Les initiatives Zero Trust devraient être la priorité dès maintenant
Pour commencer, le Dr Stanley a parlé de son rôle au sein de la NASA et du contexte de la politique Zero Trust qu'il a découvert à son arrivée.
« Quand je suis arrivé à la NASA, j'ai été complètement époustouflé », a-t-il déclaré. « Ces personnes réfléchissaient déjà à Zero Trust et à la manière dont nous allions y parvenir bien avant même la publication du décret. Ils bénéficiaient déjà de l'adhésion et d'un soutien considérable de la part de l'équipe de direction. »
Au début de son mandat à la NASA, il a été nommé responsable Zero Trust de la NASA. Il a contribué à faire de Zero Trust l'un des éléments fondamentaux de la transformation numérique de la NASA.
« Du point de vue des priorités, tout ce que je peux faire pour faire avancer Zero Trust a occupé la majorité de nos cycles », a-t-il expliqué.
2. La visibilité est la clé de la réussite de la mise en œuvre d'une stratégie Zero Trust
La réponse de Barlet a répondu à la réflexion fondamentale qui va de pair avec la stratégie Zero Trust et la segmentation des applications.
« Zero Trust est un terme très large. La première chose qui nous semble importante pour la sécurité est de comprendre comment les informations circulent réellement dans votre entreprise », a déclaré Barlet.
Barlet a recommandé aux organisations œuvrant en faveur du Zero Trust de commencer par la visibilité. Et il ne s'agit pas simplement d'une carte du réseau. Les réseaux hybrides actuels n'ont pas de périmètre et sont éparpillés. Les équipes de sécurité doivent suivre la manière dont les applications interagissent à un niveau granulaire, et Barlet explique qu'il est essentiel d'avoir une visibilité sur les flux de communication des applications pour comprendre comment fonctionne l'application. Une fois la visibilité établie, les équipes de sécurité peuvent commencer à délimiter ces applications afin de segmenter le réseau.
« Si quelque chose arrive, la réalité est que ce n'est pas une question de si vous allez être compromis mais quand. Lorsque ce compromis se produira, quelle sera la prochaine étape ? » Barlet a dit.
Découvrez comment la carte de dépendance des applications d'Illumio offre une visibilité sur votre environnement informatique hybride ici.
3. Si vous ne travaillez pas sur Zero Trust actuellement, c'est que vous êtes en retard
Barlet a ensuite expliqué les pièges auxquels se heurtent les entreprises qui sont en retard dans l'adoption de Zero Trust.
« De nombreuses entreprises sont aujourd'hui largement ouvertes », a-t-il déclaré. « Une fois qu'un adversaire prend pied, il dispose d'une capacité illimitée à se propager au sein de votre entreprise. »
Les adversaires utilisent le mouvement latéral pour se propager d'une partie de l'environnement à une autre. Si ces environnements sont isolés les uns des autres, les violations ne peuvent pas se propager. Ceci est réalisé grâce à la segmentation, également appelée segmentation Zero Trust.
« Grâce à la segmentation, vous visualisez tous ces différents composants et vous dessinez un anneau application par application », explique Barlet. « Ainsi, une fois que cela est compromis, il peut être maîtrisé et il ne peut pas infecter d'autres applications. »
4. Les initiatives Zero Trust nécessitent une collaboration interfonctionnelle
Pour atteindre un niveau d'adoption Zero Trust avec lequel les organisations peuvent se sentir à l'aise, il est important d'adopter un état d'esprit collaboratif. Le Dr Stanley a comparé l'état d'esprit de la NASA à leur approche similaire des découvertes scientifiques, dans le cadre de laquelle la NASA a pour mandat de partager les recherches et les découvertes avec le monde entier pour le bien de l'humanité.
« Au niveau fédéral, nous devons commencer à réfléchir à la manière dont nous pouvons travailler ensemble », a déclaré le Dr Stanley. « Je crois fermement que la cybersécurité est un sport d'équipe. »
Caron a poursuivi le sentiment du Dr Stanley, illustrant les pièges de l'ancienne approche de collaboration en matière de cybersécurité.
« Vous avez ces silos d'excellence, mais tous ces groupes doivent travailler ensemble pour atteindre un véritable Zero Trust », explique Caron. « Autrefois, vous aviez un incident et vous participiez à un tournoi à la ronde. Vous continueriez à tourner en rond jusqu'à ce que vous trouviez le problème. »
Mais selon Barlet, « vous ne pouvez plus faire tout cela manuellement. Il est impossible de suivre le rythme de la diffusion de la technologie, de la diffusion des données et de la propagation de nos utilisateurs. La technologie est le seul moyen d'espérer garder une longueur d'avance ou rester à la hauteur de cette courbe et de ce changement.
5. Zero Trust est une stratégie, pas une prescription
Alors que le webinaire se poursuivait, les trois experts ont exploré un autre aspect important de la stratégie de cybersécurité du gouvernement : la conformité.
Caron a ouvert la discussion en faisant une distinction essentielle entre conformité et efficacité : « Ce sont deux mots très différents qui ont deux significations différentes. La conformité peut signifier quelque chose comme : « J'ai un système, je dois donc fournir une authentification ». Le nom d'utilisateur et le mot de passe sont peut-être conformes, mais ils ne sont pas efficaces. »
En d'autres termes, ce n'est pas parce qu'une chose est une exigence de conformité qu'elle est simultanément efficace. Caron encourage les organisations à considérer Zero Trust comme un effort visant à être plus efficaces en plus de répondre aux exigences de conformité.
« La conformité se mettra en place au fur et à mesure que vous deviendrez efficace », a déclaré Caron. « C'est la grande chose que j'applaudis à propos de la stratégie Zero Trust et du décret qui mentionne Zero Trust. Cela nous permet d'être plus efficaces. C'est une stratégie, pas une prescription. »
6. Prenez des mesures progressives vers Zero Trust
Pour terminer, Barlet et le Dr Stanley ont parlé des meilleures pratiques pour l'adoption du Zero Trust dans les entreprises.
Selon Barlet, « les organisations les plus efficaces s'y prennent étape par étape ».
Il a expliqué que trop d'agences supposent qu'elles seront en mesure de passer de zéro à 100 % d'application du Zero Trust. Ensuite, lorsqu'ils n'atteignent pas l'objectif, l'initiative s'essouffle ou est considérée comme trop difficile.
« La réalité est que vous n'arriverez jamais à 100 % », a déclaré Gary. « Dans le monde dans lequel nous vivons, essayer d'atteindre 100 % de tout est un objectif impossible à atteindre. »
Barlet encourage plutôt les organisations à travailler progressivement vers le Zero Trust. En développant Zero Trust de manière progressive, les agences peuvent obtenir des résultats rapides et renforcer leurs défenses, leur sécurité et leur protection au fil du temps.
« Barlet avait parfaitement raison », a répondu le Dr Stanley. « Vous devez répondre à tous les piliers de Zero Trust. Vous devez être en mesure de tirer parti de la protection qu'il offre à vos applications et à vos données, tout en apportant ces améliorations progressives à votre infrastructure. »
Découvrez comment Illumio peut vous aider à sécuriser votre agence gouvernementale ici.
Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.
_(2).webp)
