Appel à l'action : respectez les nouvelles exigences d'accès à la base de données CJIS

Protéger les informations critiques des cybercriminels est un impératif pour chaque organisation, mais pas plus que les organismes d'application de la loi qui conservent de gros volumes de données hautement sensibles. C'est pourquoi le Federal Bureau of Investigation (FBI) a récemment introduit de nouvelles exigences strictes pour accéder à sa base de données Criminal Justice Information Services (CJIS), qui contient des informations restreintes, notamment des enregistrements d'empreintes digitales et des antécédents criminels.

À partir d’octobre 2024, le FBI imposera l’adoption de mesures avancées authentification mesures par toute entité cherchant à accéder à sa base de données CJIS sous toutes conditions. Bien que cette décision améliore considérablement la sécurité, elle présente également d'importants problèmes de conformité pour les agences civiles et les services de police qui dépendent d'un accès continu aux données CJIS pour des opérations efficaces d'application de la loi et de sécurité publique. Cet article de blog explore les exigences de la nouvelle politique CJIS, explique les défis de l'authentification avancée et montre comment Silverfort peut aider les organisations à se mettre en conformité.

Le rôle du CJIS et son évolution en matière de sécurité

Depuis sa première incarnation en 1924 en tant que division d'identification du FBI, l'agence a fourni un référentiel consultable pour tous les casiers judiciaires collectés aux États-Unis. Officiellement créé sous le nom de CJIS en 1992, il s'agit désormais de la plus grande division du FBI responsable de plusieurs initiatives technologiques, notamment le système automatisé intégré d'identification des empreintes digitales (IAFIS) et le système national de notification des incidents (NIBRS). La pièce maîtresse du CJIS est sa base de données, qui contient les antécédents criminels, les empreintes digitales, les données biométriques et d'autres informations critiques auxquelles les organismes d'application de la loi fédéraux, étatiques, locaux et tribaux doivent accéder.

Pour faire face aux menaces émergentes en matière de cybersécurité, CJIS met régulièrement à jour ses politiques afin de renforcer la sécurité de ses données sensibles et d'intégrer les meilleures pratiques. Plus récemment, l'agence a commencé à réorganiser ses politiques d'accès pour s'aligner sur la politique du président Joe Biden. Décret exécutif (EO) 14028 sur l'amélioration de la cybersécurité de la nation, signé en 2021, qui exigeait la mise en place de normes de sécurité plus strictes pour toutes les agences fédérales à partir d'octobre 2024, notamment en mettant en œuvre des méthodes d'« authentification avancée ».

Comprendre l'authentification avancée

En cybersécurité, l'authentification avancée consiste à adopter une approche multicouche pour vérifier l'identité des utilisateurs qui tentent d'accéder à un système ou à des données sensibles. L'authentification avancée va au-delà de l'exigence d'informations d'identification standard et intègre au moins un facteur supplémentaire afin d'établir un niveau d'assurance plus élevé pour l'identification de l'utilisateur. Ceux-ci peuvent inclure des éléments tels que des mots de passe ou des codes PIN ("quelque chose que vous connaissez") ainsi que des jetons matériels ou des cartes à puce ("quelque chose que vous avez) ou des facteurs biométriques tels que les empreintes digitales ou la reconnaissance faciale ("quelque chose que vous êtes").

Mais l'EO 14028 précise qu'à partir d'octobre 2024, les méthodes d'authentification avancées utilisées par les agences fédérales doivent être "résistantes au phishing", ce qui rend plus difficile l'accès des attaquants s'ils parviennent à amener un utilisateur à révéler ses informations d'identification par hameçonnage ou lorsqu'ils utilisent des tactiques telles que le bombardement rapide pour épuiser les utilisateurs à autoriser l'accès. Résistant au phishing signifie donc ne pas s'appuyer sur des authentifications push comme les messages texte ou les codes générés par l'application, mais inclure à la place des éléments tels que l'authentification basée sur des certificats (CBA), des cartes de vérification d'identité personnelle (PIV) ou des jetons matériels conformes aux dernières normes développées par l'Alliance Fast Identity Online (FIDO), connue sous le nom de FIDO2.

Les nouvelles exigences pour accéder au CJIS

En décembre dernier, le CJIS a publié un nouvelle version de sa politique de sécurité, CSP 5.9.2, qui a introduit plusieurs changements majeurs dans ses exigences en matière de sécurité et de contrôle. L'un des plus significatifs est que authentification multi-facteurs (MFA) sera nécessaire chaque fois qu'un utilisateur cherchera à accéder à des informations de justice pénale, même lorsqu'il se trouve dans un endroit physiquement sûr (comme un centre de répartition) ou un « véhicule de justice pénale » (c'est-à-dire une voiture de police). De plus, la politique stipule que le simple déverrouillage d'un appareil (par exemple, à l'aide d'un NIP ou d'une biométrie) ne sera plus considéré comme une forme acceptable d'AMF pour accéder à la base de données CJIS.

Ces changements apportés à la politique de sécurité du CJIS rendront l'accès aux informations de justice pénale plus sûr, mais ils rendront également plus difficile l'accès rapide et facile à la base de données, car une authentification avancée sera requise chaque fois qu'un utilisateur se connectera à un appareil connecté au CJIS. De plus, si les organisations n'implémentent pas une MFA résistante au phishing sur tous les appareils connectés au CJIS d'ici le 1er octobre 2024, elles pourraient être frappées de sanctions et potentiellement perdre complètement l'accès à la base de données.

Le défi qui attend les services de police

Les municipalités comptent sur les policiers pour réagir rapidement dans des situations de haute pression où chaque minute compte. La capacité d'un agent à le faire dépend de sa capacité à accéder instantanément aux données de justice pénale sur ses ordinateurs de données mobiles (MDC)/terminaux de données mobiles (MDT) pour prendre rapidement des décisions éclairées. C'est pourquoi il est essentiel que les municipalités trouvent le meilleur moyen de responsabiliser simultanément leurs services de police tout en se conformant aux nouvelles exigences de la politique de sécurité CJIS.

Les MDC ont traditionnellement accédé à des sources d'informations sur la justice pénale telles que CJIS via une connexion VPN de la voiture de police au centre de données du département, une connexion qui est vérifiée via le renvoi MFA vers l'appareil. Mais il y a des problèmes avec cette méthode. Premièrement, les routeurs sans fil situés à l'intérieur des croiseurs ne démarrent pas toujours immédiatement, laissant les agents attendre des moments critiques pour recevoir l'invite MFA qui leur permettra de se connecter. Deuxièmement, les agents doivent régulièrement se connecter lorsqu'ils sont à l'extérieur de leur croiseur et non sur un réseau sécurisé, par exemple lorsqu'ils font de la paperasse dans un endroit comme un hôpital ou un hôtel. C'est pourquoi certaines forces de police ont commencé à utiliser des cartes de contrôle d'accès compatibles FIDO2 comme deuxième facteur pour établir rapidement une connexion sécurisée.

Comment Silverfort Active l'authentification avancée avec FIDO2

Silverfort Protection d'identité La plate-forme permet aux organisations d'étendre la protection MFA à n'importe quel appareil, quel que soit le mode de connexion de l'utilisateur, y compris les policiers qui doivent accéder à leurs terminaux en toute sécurité lorsqu'ils se trouvent à distance. Silverfort peut prendre en charge de nombreuses options pour l'authentification à deux facteurs, y compris les jetons FIDO, qui peuvent être utilisés pour s'authentifier dans des situations comme celle-ci où le push MFA n'est pas autorisé.

Silverfort le fait en appliquant des politiques de sécurité sur la couche périphérique. Avec Silverfort pour l'ouverture de session Windows, le fournisseur d'informations d'identification vérifie d'abord si une stratégie doit être appliquée pour exiger l'authentification MFA, puis peut autoriser l'agent à utiliser sa carte d'accès compatible FIDO2 comme deuxième facteur d'authentification avancée. Cela permet aux services de police de sécuriser tous les terminaux Windows, y compris les tablettes et ordinateurs portables Windows que les agents utilisent sur le terrain.

Silverfort for Windows Logon est la seule solution capable d'intégrer MFA à un moteur de politiques qui permet aux organisations d'appliquer des politiques d'accès conditionnel aux appareils Windows, même lorsqu'ils fonctionnent hors ligne. De plus, une intensification supplémentaire de la MFA peut être requise pour des applications spécifiques, telles que la base de données de justice pénale maintenue par CJIS. Ainsi, un équilibre critique est atteint : les agents obtiennent rapidement l'accès dont ils ont besoin, ce qui leur fait gagner un temps précieux, tandis que leurs appareils restent entièrement conformes aux nouvelles exigences de sécurité fédérales.

Votre agence est-elle prête pour l'authentification avancée ? Parlez à l'un de nos experts aujourd'hui et découvrez comment Silverfort peut vous aider à atteindre la conformité.