Le récent décret exécutif, signé par le président Biden en mai 2021, est une réponse à une série de cyberattaques très médiatisées contre des cibles telles que SolarWinds, Microsoft Exchange et, plus récemment, Colonial Pipeline. Conscient que le partage d'informations et des normes de cybersécurité plus strictes sont essentiels pour maintenir une défense solide dans un environnement de menace en évolution, le gouvernement fédéral a mandaté des mesures pour mettre en œuvre les meilleures pratiques de sécurité.
Qu'est ce qui a changé?
Sans la confiance du public dans l'infrastructure numérique du pays, les moteurs du commerce mondial et des services gouvernementaux sont en danger. Ce décret a abordé le problème non pas avec un appel généralisé à l'amélioration de la sécurité, mais plutôt avec des technologies spécifiques qui, une fois mises en œuvre, ont les meilleures chances de prévenir de futures attaques.
Pour encourager ce durcissement de la sécurité, le gouvernement américain s'avance pour « donner l'exemple » en adoptant ces mesures dans l'ensemble du secteur public. Pour maximiser l'impact de cette initiative, cependant, ce décret exécutif appelle les secteurs public et privé à atteindre une base technologique standardisée qui permettra la coordination dans le signalement des incidents et la prévention des menaces. Cela signifie également que les mesures de sécurité autrefois considérées comme des fonctionnalités de feuille de route intéressantes devront désormais être mises en œuvre de manière beaucoup plus urgente.
Trois choses que vous devez savoir
- Si vous travaillez ou prévoyez travailler avec le secteur fédéral, vous devrez vous conformer
Les normes mises en œuvre au niveau fédéral deviendront la base de ce qui est considéré comme une solide posture de cybersécurité dans l'ensemble du secteur privé. En fait, le décret stipule explicitement que « le secteur privé doit s'adapter à l'environnement des menaces en constante évolution, s'assurer que ses produits sont conçus et fonctionner en toute sécurité, et s'associer au gouvernement fédéral pour favoriser un cyberespace plus sécurisé ». Plus précisément, les blocs de construction testés sur le terrain de Protection de l'identité – l'authentification multifactorielle basée sur les risques et l'accès conditionnel – deviendront une norme, à la fois pour les réseaux du domaine fédéral et pour les fournisseurs avec lesquels le gouvernement américain passe des contrats de services.
- La sécurité est un obstacle majeur à l'adoption des technologies cloud
Le décret présidentiel ordonne « d'accélérer le mouvement vers la sécurisation des services cloud ». Cependant, une protection complète du réseau nécessite des capacités de sécurité uniformes non seulement sur les services cloud, mais également sur les actifs sur site qui font souvent partie d'un réseau hybride. Typiquement, un réseau hybride a plusieurs Produits GIA, chacun étant géré séparément et offrant différents niveaux de sécurité. La consolidation de ces produits de sécurité sur toutes les ressources et les tentatives d'accès est essentielle pour identifier et gérer les risques de cybersécurité. Avec un unifié Protection de l'identité cadre en place, les actifs peuvent être migrés vers le cloud en toute confiance qu'ils resteront sécurisés.
- Zero Trust les approches deviennent une nouvelle norme
Élaboration d'un plan de mise en œuvre Architecture de confiance zéro est mandatée par ce décret, cette position passe donc rapidement du concept à la réalité. Jusqu'à aujourd'hui, l'approche dominante était Zero Trust Accès au réseau (ZTNA), qui se concentre sur l'appareil et le segment de réseau auquel il tente d'accéder. Cela peut être difficile à mettre en œuvre dans des environnements d'entreprise sans qu'il soit nécessaire de reconstruire les réseaux. Une autre approche qui suscite de plus en plus d'intérêt de nos jours est Confiance zéro basée sur l'identité approche, qui prend en compte l'identité et le profil comportemental de l'utilisateur pour déterminer le niveau de risque et applique des contrôles d'accès dynamiques et basés sur les risques. Chaque tentative d'accès est évaluée individuellement ; l'identité d'un utilisateur n'est jamais entièrement fiable tant qu'il n'a pas prouvé qu'il est bien celui qu'il prétend être.