En mars 2023l'administration Biden a dévoilé une stratégie nationale globale en matière de cybersécurité. Cette stratégie définit une vision audacieuse de la cybersécurité, soulignant la nécessité de défendre les infrastructures critiques, de démanteler les cybermenaces, de promouvoir la sécurité du marché, d'investir dans un avenir résilient et de forger des partenariats internationaux.
Sur la base de ce cadre, le mémorandum de la Maison Blanche de juillet 2024 mémorandum de la Maison Blanche du Bureau de la gestion et du budget (OMB) et du Bureau du directeur national de la cybersécurité (ONCD) définit des priorités spécifiques en matière d'investissement dans la cybersécurité pour l'avenir et fournit une feuille de route vers des résultats concrets et mesurables.
Le dernier mémo fait progresser plusieurs domaines clés mis en évidence dans la stratégie initiale :
- Transition vers des architectures de confiance zéro : Il décrit la nécessité de passer rapidement à architectures de confiance zéroqui exige une vérification rigoureuse et continue de chaque utilisateur et de chaque appareil.
- Renforcer la collaboration entre les secteurs public et privé : Il s'agit d'intensifier les efforts pour partager les informations, renforcer la résilience et mener une action collective face à l'évolution des menaces.
- Renforcer la main-d'œuvre dans le domaine de la cybersécurité : Il s'agit d'accroître le recrutement et la fidélisation, et de combler le déficit de compétences qui entrave les capacités défensives.
- Se préparer aux défis de l'informatique quantique : Il souligne la nécessité de se préparer à un avenir post-quantique, notamment en passant à une cryptographie résistante au quantum - et l'engagement du gouvernement fédéral en faveur de l'agilité cryptographique pour un avenir sûr.
Il est essentiel que vous compreniez chacun de ces domaines clés - que nous résumons ci-dessous et que nous prévoyons d'aborder lors d'un prochain webinaire. [Réservez votre place en vous inscrivant ici pour garder une longueur d'avance sur les menaces d'aujourd'hui et vous préparer aux défis de demain).
Améliorer votre stratégie de défense
Les agences fédérales sont confrontées à des défis croissants en matière de cybersécurité, d'où la nécessité d'adopter des solutions avancées pour rester en sécurité. Nous allons donc nous pencher sur chacun des grands domaines abordés dans le mémo sur la cybersécurité, ainsi que sur les principaux enseignements à en tirer.
Adopter la confiance zéro pour gérer l'identité et l'accès
L'un des principaux mandats de l'ONCD, qui vise à défendre les infrastructures critiques, exige que les agences gouvernementales soumettent des plans de confiance zéro actualisés dans un délai de 120 jours. A confiance zéro s'éloigne de la sécurité traditionnelle basée sur le périmètre pour adopter un modèle axé sur la minimisation de la confiance et la maximisation de la vérification.
Cette vérification est cruciale pour les identités des machines, qui sont plus nombreuses que les utilisateurs dans la plupart des environnements informatiques. Chaque appareil a besoin de sa propre identité et de ses propres références pour s'authentifier et communiquer en toute sécurité, et celles-ci doivent être gérées, mises à jour et révoquées si nécessaire. Cela crée un réseau complexe d'identités qui, s'il est mal géré, peut entraîner des lacunes et des vulnérabilités, comme une identité de machine compromise permettant un accès non autorisé à des zones sensibles d'un réseau ou provoquant des perturbations opérationnelles.
En outre, toutes les données qui transitent par les réseaux doivent être cryptées à l'aide de certificats de sécurité de la couche transport. TLS (transport layer security). Cette exigence est cruciale pour protéger les informations lorsqu'elles circulent entre les systèmes et les appareils. La gestion de ces certificats TLS à grande échelle nécessite une surveillance méticuleuse, et une mauvaise gestion des identités ou des certificats peut avoir de graves répercussions. Les risques associés à la gestion des certificats certificats ont été mis en évidence lorsque la principale autorité de certification Entrust a émis de manière incorrecte des milliers de certificats de validation étendue. des milliers de certificats de validation étendue TLS en 2024. Une gestion efficace des identités et des certificats est essentielle pour empêcher les attaquants d'exploiter les faiblesses pour pénétrer dans les réseaux, exfiltrer des données ou perturber les opérations.
Principaux enseignements :
- Les organismes publics sont tenus de mettre à jour leurs plans de confiance zéro, en se concentrant sur la vérification rigoureuse des identités des machines pour tout ce qui touche au réseau.
- Une bonne gestion des certificats TLS est cruciale pour prévenir les brèches dans le réseau et les perturbations opérationnelles.
- La découverte et le contrôle continus des certificats sont essentiels pour garantir la confiance.
Combler le déficit de compétences en matière de cybersécurité
Un environnement bien géré est plus facile à défendre, mais cela nécessite une double approche : élever le niveau de compétence de notre personnel de cybersécurité et réduire la complexité des environnements dans lesquels il opère. Pour ce faire, le mémo de l'ONCD insiste sur la nécessité de disposer d'outils adéquats, notamment en ce qui concerne l'infrastructure de clés publiques (PKI).
Les solutions technologiques appartenant aux pouvoirs publics sont souvent gérées application par application, ce qui contribue à la complexité opérationnelle. La gestion ad hoc fait non seulement augmenter les coûts, mais elle rend également nécessaire l'embauche de personnel qualifié. personnel qualifié plus difficile, plus coûteux et souvent redondant. Lorsque chaque application nécessite sa propre gestion PKI , les agences se retrouvent piégées dans un cycle d'inefficacité : le personnel doit jongler avec des systèmes disparates au lieu de se concentrer sur l'amélioration de la sécurité dans son ensemble.
La centralisation de la gestion de PKI permet de relever ce défi. En rationalisant la gestion des certificats dans l'ensemble de l'entreprise, les organisations peuvent simultanément réduire la complexité et renforcer la maturité de la sécurité. La centralisation ouvre également la voie à l'automatisationLa centralisation ouvre également la voie à l'automatisation, ce qui permet une intégration plus transparente du cryptage et de l'authentification sur diverses plates-formes. Avec des outils appropriés en place, la sécurité devient plus accessible à tous les membres du personnel, et pas seulement aux experts spécialisés.
L'utilisation des bons outils peut offrir des avantages significatifs pour la formation et l'intégration de nouveaux talents. Alors que de plus en plus de cybertechniciens entrent sur le marché du travail, ils sont mieux placés pour réussir lorsqu'ils travaillent avec les outils sur lesquels ils ont été formés, tels que EJBCAActive Directory et d'autres normes industrielles. Équiper les nouvelles recrues avec des systèmes familiers peut réduire la courbe d'apprentissage pour le nouveau personnel, améliorer l'efficacité opérationnelle et bénéficier à la santé et à la résilience globales de la cybersécurité.
Principaux enseignements :
- La centralisation de la gestion de PKI peut réduire la complexité et améliorer la sécurité, ce qui facilite la défense des environnements.
- En équipant les nouveaux employés d'outils familiers, on améliore l'efficacité opérationnelle et on renforce la cybersécurité.
La collaboration entre les secteurs public et privé débouche sur des solutions sûres
D'autre part, ces outils doivent répondre aux besoins spécifiques et rigoureux des agences gouvernementales. Les ministères et les agences fédérales sont tenus d'adopter des solutions qui renforcent la sécurité et respectent des normes réglementaires et opérationnelles strictes. Cet aspect est particulièrement important lorsqu'il s'agit d'outils disponibles dans le commerce ou de open-source software .
Open-source peuvent apporter flexibilité et innovation sans sacrifier la sécurité lorsqu'elles sont correctement entretenues et sécurisées. Le mémo de la Maison Blanche va dans le même sens, en encourageant les agences à contribuer aux composants open-source software et à en assurer la maintenance. Cependant, lorsque les composants open-source sont utilisés, les agences doivent surveiller les changements de code, identifier et traiter les vulnérabilités et maintenir l'intégrité de ces composants. Une surveillance et une sécurité cohérentes peuvent s'avérer difficiles sans les outils appropriés.
Keyfactor sont conçues pour répondre aux normes élevées exigées par les gouvernements du monde entier. En fait, nous aidons déjà plusieurs entités gouvernementales à gérer des programmes d'identité avec des solutions de gestion centralisées, sécurisées et conformes à PKI . Nos outils permettent non seulement une gestion sécurisée des identités numériques, mais offrent également une transparence totale, des fonctions de conformité rigoureuses et des contrôles de sécurité automatisés qui prennent en charge la conformité aux normes suivantes FIPS 140-2 et autres normes NIST et d'autres familles de contrôle du NIST. L'automatisation du cycle de vie des certificats et la gestion du cryptage sécurisé avec Keyfactor peuvent aider les agences à maintenir un contrôle étroit sur leurs environnements PKI et à répondre aux exigences de conformité.
Principaux enseignements :
- Les agences gouvernementales doivent adopter des solutions sécurisées et conformes qui répondent à des normes réglementaires strictes.
- Keyfactor offrent une gestion centralisée de PKI , des contrôles de sécurité automatisés et une conformité à FIPS 140-2 et à d'autres normes NIST.
Se préparer à un avenir post-quantique
À l'approche de la révolution de l'informatique quantique, le gouvernement fédéral doit donner la priorité à la transition vers la cryptographie post-quantique (PQC). Les ordinateurs quantiques ont le potentiel de briser les méthodes de cryptage qui protègent nos données les plus sensibles, et le passage à l'adaptation ne sera ni simple ni facile. Pour compliquer les choses, des signes indiquent déjà que les attaquants semblent acquérir des données cryptées dès maintenant pour les stocker afin de pouvoir les décrypter plus tard plus tard, lorsque la technologie sera disponible. C'est ce que l'on appelle communément "capturer puis décrypter", mais cela a pour effet de faire passer la nécessité d'agir ici et maintenant, plutôt que de la remettre à plus tard en surveillant les progrès de la technologie.
Outre l'identification des données les plus menacées par la méthode "capturer puis décrypter", une tâche critique et difficile de la transition consiste à dresser un inventaire complet de tous les certificats numériques du réseau d'une agence afin de bien comprendre comment les choses se passent et d'être en mesure de suivre les progrès. Chacun de ces certificats, utilisés pour chiffrer et authentifier les communications, doit faire l'objet d'un suivi pour détecter les changements, les vulnérabilités et les dates d'expiration.
Sans visibilité, les agences risquent de s'exposer à de graves lacunes de sécurité lorsqu'elles changeront de normes cryptographiques. Nous avons tiré les leçons de la douloureuse transition de SHA-1 à SHA-2-Bien que gérable, le changement a demandé beaucoup de travail et a été lent. Mais la rapidité sera essentielle face à la menace de l'informatique quantique, qui exigera des réponses plus rapides.
Il est essentiel de bien comprendre et de maîtriser la gestion des certificats pour protéger les données sensibles lorsque les agences se préparent à l'avenir quantique. A PKI plateforme capable de gérer ce processus complexe pour toutes les autorités de certification rendra le passage à la PQC aussi indolore que possible, protégeant ainsi les agences des défis cryptographiques que promet l'informatique quantique.
Principaux enseignements :
- Le passage à la CQP nécessite un inventaire et une gestion complets des certificats numériques.
- Une plateforme PKI permettant ce processus facilitera le passage à la PQC, en garantissant une protection contre les menaces de l'informatique quantique.
Un regard vers l'avenir : Engagez-vous sur Keyfactor pour assurer l'avenir
Les enjeux pour les agences fédérales sont élevés - et ne cessent de croître. Votre cybersécurité doit évoluer pour répondre à toutes les menaces qui se profilent. '
Une collaboration efficace entre les secteurs public et privé est essentielle, et la mise en œuvre précoce des bons outils déterminera la capacité du gouvernement à s'adapter à ces défis.
Avec des solutions de pointe pour la gestion centralisée de PKI , l'automatisation du cycle de vie des certificats et la surveillance de la conformité, Keyfactor permet aux entités gouvernementales de simplifier les opérations de sécurité, d'améliorer les capacités du personnel et de se préparer à l'avenir quantique. Nos plateformes sécurisées et conformes offrent visibilité, contrôle et automatisation pour gérer le chiffrement et la gestion des identités, aujourd'hui et dans l'ère post-quantique.
Vous voulez renforcer votre cyberdéfense ? Participez à notre webinaire le 9 octobre 2024. Découvrez comment protéger votre environnement et rester en conformité avec les dernières normes fédérales, y compris les nouvelles directives de la Maison Blanche en matière de cybersécurité. Réservez votre place dès maintenant - vous serez mieux équipé pour relever les défis actuels en matière de cybersécurité et vous préparer aux menaces de demain.