Ils ont compromis une station d'épuration de Floride, pris en otage les systèmes informatiques d'un hôpital, infiltré des agences gouvernementales dans le cadre de l'attaque SolarWinds et coupé l'un des plus grands oléoducs américains. Il ne fait aucun doute que les entités malveillantes, qu'il s'agisse de groupes de menace soutenus par des États ou de pirates informatiques vivant dans des caves, sont de plus en plus sophistiquées et qu'elles s'en prennent de plus en plus à nos infrastructures essentielles.
Heureusement, l'importance de la modernisation de la cybersécurité dans nos infrastructures critiques a été prise en compte, et il était temps.
Le 12 mai, le président Biden a signé un décret visant à "améliorer la cybersécurité du pays et à protéger les réseaux du gouvernement fédéral". Ce décret intervient peu de temps après la récente attaque par ransomware de Colonial Pipeline et d'autres incidents de cybersécurité qui ont touché des entreprises telles que SolarWinds et Microsoft.
Keyfactor félicite le gouvernement américain pour son action rapide visant à moderniser la cybersécurité du gouvernement fédéral. Toutefois, "l'action fédérale seule ne suffit pas" et les décrets ne vont pas plus loin. Une stratégie cohérente ne peut être mise en œuvre sans un partenariat et une participation égaux du gouvernement et de l'industrie privée.
Cette reconnaissance est un pas dans la bonne direction. Toutefois, ce décret reconnaît que la plupart de "nos infrastructures critiques nationales sont détenues et exploitées par le secteur privé". Ainsi, si l'administration peut encourager le secteur privé à suivre la direction du gouvernement fédéral, elle doit trouver des moyens d'encourager et de stimuler la participation du secteur privé.
Comme le souligne Gartner, "la cryptographie est une infrastructure critique pour le commerce numérique et, par conséquent, nécessite attention et investissement". Décortiquons les sections les plus importantes du décret sur la cryptographie, qui jouent un rôle dans la sécurisation de notre pays pour l'avenir.
L'architecture de confiance zéro au centre de l'attention
La section 3 du décret énonce des ordres visant à "moderniser la cybersécurité du gouvernement fédéral" et appelle spécifiquement à progresser dans les "services en nuage et l'architecture de confiance zéro". Le gouvernement fédéral intégrera des étapes de migration en suivant les normes du National Institute of Standards and Technology (NIST).
Quel est le rapport avec la cryptographie et l'identité ?
Comme le définit le NIST SP 800-207, l'infrastructure à clé publique (PKI) est un élément essentiel pour parvenir à une architecture de confiance zéro. En fait, une enquête a récemment montré que 96 % des responsables de la sécurité informatique reconnaissent que PKI et les certificats numériques sont essentiels à la confiance zéro.
Le décret souligne que l'architecture de confiance zéro "permet aux utilisateurs d'avoir un accès total, mais seulement au strict minimum dont ils ont besoin pour effectuer leur travail". Un élément essentiel de l'architecture de confiance zéro est la délivrance et la gestion des identités numériques, tant pour les humains que pour les machines.
Cependant, la plupart des entreprises se concentrent presque exclusivement sur les identités humaines, sans aborder le problème croissant de l'identité des machines. En réalité, si vous savez que les utilisateurs autorisés n'utilisent que des machines ou des appareils autorisés, vous avez considérablement réduit l'empreinte du risque de violation.
La recherche montre que :
- 55% des organisations ne disposent pas d'un personnel suffisant en matière de sécurité informatique. PKI
- 60% des organisations n'ont pas de contrôle d'accès formel pour les clés de signature de code
- 40 % des organisations utilisent encore des feuilles de calcul pour assurer le suivi manuel des certificats numériques.
Cette réalité laisse un énorme trou dans l'architecture de confiance zéro qui doit être comblé.
Confiance zéro pour les identités des machines
Les pratiques actuelles de gestion des certificats et de PKI ne peuvent pas gérer le rythme et l'échelle des identités de leurs machines. Pour obtenir une position de confiance zéro, les entreprises se tournent vers Cloud PKI as-a-Service et les solutions de gestion des clés SaaS pour orchestrer ces identités à l'échelle.
Une visibilité complète de chaque clé et certificat numérique est cruciale pour un plan de réponse aux incidents ordonné et efficace.
Les solutions combinées de Keyfactor et PrimeKey donnent aux clients l'assurance qu'ils émettent des identités de machines sécurisées qui ont été vigoureusement testées selon les normes actuelles (par exemple FIPS, NIST, Critères communs).
Notre plateforme de crypto-agilité permet aux organisations d'inventorier facilement les certificats et les clés utilisés et d'identifier rapidement et facilement les clés de chiffrement et les identités des machines qui ne sont pas sécurisées ou qui nécessitent une maintenance ou une rotation.
Les cas d'utilisation de PKI et des certificats vont au-delà des cas d'utilisation traditionnels des entreprises. Les agences fédérales et les industries peuvent utiliser les certificats pour sécuriser les appareils connectés, des serveurs et postes de travail traditionnels aux derniers appareils IoT .
Nous verrons ce qu'il en est dans la section 4.
La sécurité de la chaîne d'approvisionnement a besoin de crypto-agilité
La section 4 se concentre sur la sécurisation des appareils connectés en "améliorant la sécurité de la chaîne d'approvisionnement Software ". Le décret exigera des "développeurs qu'ils aient une meilleure visibilité de leur site software et qu'ils rendent les données de sécurité accessibles au public".
Par exemple, ils exigeront du vendeur qu'il fournisse à l'acheteur une nomenclature Software pour chaque produit, directement ou en la publiant sur un site web public. Le décret crée également un "programme pilote visant à créer un label de type "Energy Star" afin que le gouvernement - et le grand public - puisse rapidement déterminer si le site software a été développé en toute sécurité".
IoT La sécurité de la chaîne d'approvisionnement devient de plus en plus sérieuse. En décembre 2020, le gouvernement américain a promulgué la loi IoT Cybersecurity Act et, par la suite, le NIST a publié le guide NISTIR 8259 sur la façon dont les fournisseurs IoT peuvent mettre en œuvre les meilleures pratiques en matière de sécurité, y compris des éléments tels que :
- Sécuriser les mises à jour des microprogrammes en utilisant des technologies d'identification et de signature pour limiter les attaques de la chaîne d'approvisionnement.
- Création d'un identifiant unique par appareil
- Utilisation de hardware pour le stockage des clés cryptographiques
- Enregistrement et traçabilité des actions et opérations de sécurité sur les appareils et les applications
- IoT les fabricants doivent fournir un SBOM complet afin d'identifier les sous-composants susceptibles de présenter des vulnérabilités
- Construire en gardant à l'esprit la crypto-agilité pour mettre à jour les racines de confiance, les algorithmes ou les longueurs de clés pendant la durée de vie de l'appareil.
Alors que la section 3 fait d'énormes progrès dans le domaine de la mise en réseau sans confiance, nous voulons faire progresser la confiance zéro dans la fabrication de la chaîne d'approvisionnement. Nous parlons depuis un certain temps déjà de l'importance de la fabrication de confiance zéro, car la sécurité de la chaîne d'approvisionnement ne dispose pas d'un ensemble complet et pratique de bonnes pratiques.
Comme on dit, "l'argent parle". Le décret prévoit clairement d'utiliser "le pouvoir d'achat du gouvernement fédéral pour inciter le marché à intégrer la sécurité dans tous les sites software dès le départ". Une bonne sécurité n'est pas le fruit du hasard, mais plutôt d'une conception délibérée et réfléchie.
Fini les coups de pied dans la fourmilière
La nécessité de protéger l'ensemble de la chaîne d'approvisionnement n'est pas nouvelle dans l'industrie de la sécurité, car les chaînes d'approvisionnement hardware et software sont devenues de plus en plus complexes. La protection de la chaîne d'approvisionnement n'est toutefois pas gratuite et l'un des effets bienvenus du décret est que les investissements et les meilleures pratiques en matière de cybersécurité sont encouragés par les dépenses d'approvisionnement.
Nous avons vu dans d'autres initiatives similaires au niveau mondial, telles que la directive NIS dans l'UE, qu'une initiative comme celle-ci a le potentiel de rendre la sécurité plus visible dans les marchés publics. Cela oblige à intégrer la sécurité dans la phase de conception et permet aux marchés publics de dépenser pour la sécurité en évitant les solutions dont la maturité en matière de cybersécurité est moindre.
Keyfactor et PrimeKey ont une longue expérience de l'activation des identités des machines et des appareils directement au début de la chaîne d'approvisionnement. Depuis la fabrication et la gestion de ces identités tout au long du cycle de vie jusqu'à l'intégration des mises à jour OTA software à intégrité protégée, en passant par les renouvellements et révocations d'identité requis par les réseaux de confiance zéro.
Le travail de base est déjà fait avec des normes et des lignes directrices techniques telles que le guide du NIST sur la cybersécurité des appareils de l'internet des objets, et l'industrie est prête à fournir des solutions basées sur ces lignes directrices.
Quelle est la prochaine étape ?
Bien que certains fournisseurs aient suggéré qu'il devrait y avoir des "répercussions financières strictes pour toute entreprise" qui ne se conforme pas au décret, les répercussions ne sont souvent pas la méthode la plus efficace pour inciter à l'action.
L'achat par le gouvernement de software a traditionnellement incité le secteur privé à rivaliser sur les prix. L'intégration d'une bonne sécurité dans les produits et la chaîne d'approvisionnement nécessite des investissements et la politique d'achat du gouvernement doit encourager les investissements dans la sécurité plutôt que d'utiliser le modèle actuel d'achat basé principalement sur le prix le plus bas.
Nous l'avons souvent constaté. Tout le monde veut des certifications coûteuses, mais personne ne veut les payer, ce qui en fait plus un affichage qu'une réalité.
Prenons l'exemple de FedRamp, un programme mentionné dans ce décret.
FedRamp est un programme solide qui permet aux fournisseurs de services en nuage de se conformer aux normes gouvernementales. Cependant, FedRamp est devenu un obstacle coûteux pour les nouvelles technologies basées sur l'informatique en nuage qui pourraient être utiles au secteur public en protégeant les systèmes et en offrant de meilleures solutions de réponse aux incidents.
Ces certifications peuvent rapidement devenir un albatros pour l'innovation et l'agilité du gouvernement fédéral lorsqu'elles sont mises en œuvre.
Nous n'avons pas fini d'en parler ! Rejoignez un groupe de discussion qui analysera les sections les plus importantes du décret et répondra à vos questions sur le rôle de la cryptographie dans la sécurisation de notre nation pour l'avenir.
