Une stratégie fédérale récemment publiée veut que le gouvernement américain adopte un modèle de sécurité « zéro confiance » dans les deux prochaines années pour se défendre contre les menaces actuelles et renforcer les défenses de cybersécurité dans les agences fédérales.
La stratégie a été publiée aujourd’hui par le Bureau de la gestion et du budget (OMB) de la Maison Blanche, qui supervise la mise en œuvre de la vision du président dans l’ensemble du pouvoir exécutif américain.
L’annonce d’aujourd’hui suit la publication d’un premier projet de stratégie en septembre 2021, qui a été motivé par le décret présidentiel (EO) 14028.
Le décret a lancé un effort à l’échelle du gouvernement pour migrer vers la confiance zéro et moderniser les défenses de la nation contre les cyberattaques.
« Ce mémorandum définit une stratégie fédérale d’architecture de confiance zéro (ZTA), obligeant les agences à respecter des normes et des objectifs spécifiques en matière de cybersécurité d’ici la fin de l’exercice 2024 afin de renforcer les défenses du gouvernement contre des campagnes de menaces de plus en plus sophistiquées et persistantes », a déclaré Shalanda D. Young, directrice par intérim de l’OMB. (PDF)
« Ces campagnes ciblent l’infrastructure technologique fédérale, menaçant la sécurité publique et la vie privée, endommageant l’économie américaine et affaiblissant la confiance dans le gouvernement. »
Les éléments clés de la nouvelle stratégie de confiance zéro incluent une meilleure défense contre le phishing grâce à une authentification multifactorielle forte, la consolidation des systèmes d’identité des agences, le chiffrement du trafic et le traitement des réseaux internes comme non fiables, et le renforcement de la sécurité des applications pour mieux protéger les données.
La nouvelle stratégie fédérale Zero Trust d’OMB prévoit un gouvernement fédéral où :
- Le personnel fédéral dispose de comptes gérés par l’entreprise, ce qui lui permet d’accéder à tout ce dont il a besoin pour faire son travail tout en restant protégé de manière fiable contre les attaques de phishing, même ciblées et sophistiquées.
- Les appareils que le personnel fédéral utilise pour faire son travail sont constamment suivis et surveillés, et la posture de sécurité de ces appareils est prise en compte lors de l’octroi de l’accès aux ressources internes.
- Les systèmes des agences sont isolés les uns des autres et le trafic réseau circulant entre eux et à l’intérieur de ceux-ci est crypté de manière fiable.
- Les applications d’entreprise sont testées en interne et en externe et peuvent être mises à la disposition du personnel en toute sécurité via Internet.
- Les équipes de sécurité fédérales et les équipes de données travaillent ensemble pour développer des catégories de données et des règles de sécurité afin de détecter automatiquement et finalement de bloquer l’accès non autorisé aux informations sensibles
La migration du gouvernement vers les principes de sécurité zéro confiance intervient après que les entreprises de cybersécurité ont poussé le modèle de réseau zéro confiance pendant des années.
Cette poussée continue en faveur des principes de sécurité modernes a culminé avec la NSA et Microsoft recommandant cette approche de sécurité en février 2021 pour les grandes entreprises et les réseaux critiques (Systèmes de sécurité nationaux, ministère de la Défense, base industrielle de défense).
La confiance zéro est une approche de sécurité où les appareils et les connexions locaux ne sont jamais fiables et une vérification est nécessaire à chaque étape car les défenseurs supposent que les intrus ont déjà accès au réseau.
Ce modèle de sécurité a été créé par John Kindervag de Forrester Research en 2010, Google mettant en œuvre certains de ses concepts en 2009 dans un projet interne (maintenant connu sous le nom de Au-delà de Corp) après qu’une partie de sa propriété intellectuelle a été volée pendant Opération Aurore.
« Face à des cybermenaces de plus en plus sophistiquées, l’administration prend des mesures décisives pour renforcer les cyberdéfense du gouvernement fédéral », a déclaré Young ajoutée.
« Cette stratégie de confiance zéro vise à garantir que le gouvernement fédéral donne l’exemple, et elle marque une autre étape clé dans nos efforts pour repousser les attaques de ceux qui feraient du mal aux États-Unis. »