L’armée américaine adopte une confiance zéro dans les logiciels •
Français
Les agences fédérales continuent de mettre en place leurs stratégies de cybersécurité 18 mois après que l’administration Biden a publié son décret exécutif pour renforcer les défenses du gouvernement.
Plus récemment, le Pentagone a présenté cette semaine sa stratégie de confiance zéro [PDF] feuille de route tandis que la Cybersecurity and Infrastructure Security Agency (CISA) a mis à jour son cadre de résilience des infrastructures pour guider les entités étatiques, locales et tribales dans la planification de leurs efforts de cybersécurité.
De plus, l’Information Technology Industry Council (ITI), un groupement professionnel de la technologie, demande au Bureau de la gestion et du budget (OMB) de la Maison Blanche de clarifier ses recommandations pour sécuriser les pratiques de développement de logiciels.
Ce sont toutes des excroissances des graines que le président Biden a plantées en mai 2021 appelant les agences gouvernementales et les entreprises privées à améliorer leurs capacités face aux menaces croissantes de ransomwares, aux attaques de la chaîne d’approvisionnement et à d’autres dangers numériques.
Les architectures de confiance zéro – l’idée qu’une personne, un appareil ou une application essayant d’accéder à un réseau ne peuvent pas faire confiance tant qu’elles ne sont pas authentifiées et vérifiées – sont un élément central. L’OBM a publié en janvier une note appelant tous les ministères à se diriger dans cette direction. La publication par le ministère de la Défense de sa stratégie et de sa feuille de route fait partie de cet effort.
Le DoD souhaite mettre pleinement en place un cadre de confiance zéro d’ici 2027 et la stratégie comprend quatre objectifs, notamment s’assurer que le personnel est conscient et formé pour la confiance zéro et que tous les systèmes d’information en sont couverts. Le Pentagone veut également s’assurer que toutes les technologies connexes suivent le rythme de l’innovation de l’industrie et que les politiques et le financement s’accordent avec les approches de confiance zéro.
Dans son introduction de la stratégie, le DoD a noté que ses systèmes sont soumis à “une attaque à grande échelle et persistante” de la part de groupes de menaces, en particulier de Chine et d’autres États-nations, qui “violent souvent le périmètre défensif du Département et errent librement dans nos systèmes d’information”. . Le Département doit agir maintenant.
“Cette urgence signifie que nos collègues, nos combattants et chaque membre du DoD doivent adopter un état d’esprit Zero Trust, qu’ils travaillent dans la technologie ou la cybersécurité ou le département des ressources humaines”, a écrit le CIO du DoD, John Sherman. “Cet état d’esprit “ne jamais faire confiance, toujours vérifier” nous oblige à assumer la responsabilité de la sécurité de nos appareils, applications, actifs et services.”
Le Pentagone avait précédemment publié une architecture de référence zéro confiance, puis une deuxième version en juin. Dévoiler une stratégie et une feuille de route est une étape clé, selon Steve Faehl, directeur technique de la sécurité fédérale chez Microsoft.
Faehl a noté dans un article de blog que les réseaux du gouvernement américain sont confrontés à près de la moitié de toutes les attaques d’États-nations qui se produisent et que la mise à jour du DoD cette semaine offre au département et aux partenaires informatiques – comme Microsoft – de meilleures directives concernant 45 capacités et 152 activités.
“Alors que des initiatives Zero Trust sont en cours depuis des années dans divers départements, cette stratégie mise à jour vise à unifier les efforts pour parvenir à une position défensive solide et éprouvée contre les tactiques adverses”, a-t-il écrit.
Pour sa part, la CISA a initialement déployé son cadre de planification de la résilience des infrastructures en 2021 pour guider les entités dans leur travail de protection des infrastructures critiques. Désormais, l’agence propose des mises à jour telles que les ensembles de données pour les infrastructures critiques pour aider à identifier ces environnements, la meilleure façon de rassembler les différents groupes qui ont un intérêt dans les efforts et une façon révisée de mieux comprendre les systèmes d’infrastructure.
De plus, le cadre de la CISA comprend désormais plus d’informations sur les sécheresses de code que peuvent avoir les infrastructures critiques.
Aussi, dans sa lettre de neuf pages du 21 novembre [PDF]Gordon Bitko, vice-président exécutif de l’ITI chargé des politiques pour le secteur public, poussant la directrice de l’OBM, Shalanda Young, à clarifier sa note du 14 septembre [PDF] aux chefs d’agences fédérales décrivant les mesures de protection contre les attaques de la chaîne d’approvisionnement logicielle en garantissant des pratiques de développement de logiciels sécurisées.
La note de service OBM ordonne aux agences de s’assurer que les fabricants de logiciels se conforment à des exigences telles que la conformité aux directives du NIST et en exigeant des fournisseurs la preuve qu’ils se conforment en demandant une nomenclature logicielle avant d’utiliser le logiciel.
Dans sa lettre, Bitko a écrit que la note de service, bien qu’étant une “étape importante”, entrave les fabricants de logiciels avec “une terminologie ambiguë, des délais confus et le potentiel de fragmentation réglementaire”.
“Nous craignons que ces demandes soient appliquées différemment dans l’ensemble du gouvernement, même au sein des agences”, a-t-il écrit. “Cela crée une ambiguïté et peut finalement retarder les progrès vers les objectifs importants du gouvernement en matière de sécurité logicielle.”
Bitko a recommandé plusieurs étapes à l’OBM, notamment la création d’un formulaire standard unique que toutes les agences peuvent utiliser, l’ajustement du calendrier de mise en œuvre et le pilotage de certaines parties du plan avant de les exiger. ®
