Le Pentagone crée une feuille de route pour un accès Internet "zéro confiance" d'ici 2027

Le ministère de la Défense a enfin présenté son plan de protection de ses cyber-réseaux après des années de promesse d'en faire un engagement.

Le Bureau du directeur de l'information a publié « La stratégie de confiance zéro du DoD » en novembre, qui a défini les paramètres et les délais pour que le département parvienne à l'adoption totale de la confiance zéro d'ici 2027. Les experts en cybersécurité ont déclaré que le gouvernement et le secteur privé devraient travailler ensemble pour tirer parti des ressources. entrer avec succès dans le nouveau régime.

"Les cybermenaces physiques contre les infrastructures critiques sont vraiment l'un des plus grands défis de sécurité nationale auxquels nous sommes confrontés aujourd'hui, et le paysage auquel nous sommes confrontés est devenu plus complexe", a déclaré Nitin Natarajan, directeur adjoint de la Cybersécurité et de la sécurité des infrastructures. Agency, a déclaré lors d'un événement MeriTalk en octobre.

Les cyber-attaquants disposent de plus de ressources qu'auparavant et il est moins coûteux d'endommager un système non sécurisé, a-t-il déclaré. Ce ne sont pas seulement les hackers solitaires, mais les États-nations et les cyberterroristes qui peuvent constituer une menace.

Par exemple, la cyberattaque SolarWinds de 2019, qui a balayé les défenses de milliers d'organisations, y compris le gouvernement fédéral, a été liée à des agents soutenus par la Russie.

Le principe de base de la nouvelle stratégie est que traiter la sécurité des organisations comme un fossé autour d'un château n'empêche pas les mauvais acteurs.

« Les propriétaires de missions et de systèmes, ainsi que les opérateurs, adoptent de plus en plus ce point de vue comme un fait. Ils voient également le voyage vers [la confiance zéro] comme une opportunité d'affecter positivement la mission en abordant les modernisations technologiques, en affinant les processus de sécurité et en améliorant les performances opérationnelles », indique le document.

La culture de confiance zéro exige que chaque personne au sein d'un réseau suppose qu'il est déjà compromis et exige que tous les utilisateurs prouvent leur identité à tout moment.

La stratégie répertorie les technologies qui peuvent aider à cultiver un environnement de confiance zéro, telles que l'authentification multifacteur continue, la micro-segmentation, le chiffrement avancé, la sécurité des terminaux, l'analyse et l'audit robuste.

Bien que ces différentes technologies puissent être utilisées pour mettre en œuvre ce principe de base, cela signifie essentiellement que « les utilisateurs n'ont accès qu'aux données dont ils ont besoin et au moment où ils en ont besoin ».

La stratégie s'articule autour de quatre piliers : accepter la culture de confiance zéro, opérationnaliser les pratiques de confiance zéro, accélérer la technologie de confiance zéro et l'intégration à l'échelle du département. La stratégie note que même si les services informatiques du Pentagone peuvent avoir besoin d'acheter des produits, il n'existe pas de capacité unique capable de résoudre tous leurs problèmes.

"Alors que les objectifs prescrivent" ce qui "doit être fait pour atteindre l'objectif, ils ne prescrivent pas" comment ", car les composants du DoD peuvent avoir besoin d'entreprendre des objectifs de différentes manières", lit-on dans la stratégie.

Pour le pilier technologique, la stratégie de confiance zéro du Pentagone demande que les capacités soient déployées plus rapidement tout en réduisant les silos. Selon le document, les capacités qui favorisent une architecture plus simple et une gestion efficace des données sont également importantes.

Bien que de nombreuses méthodes puissent être utilisées pour authentifier les utilisateurs, le pilier de l'intégration nécessite la création d'un plan d'acquisition de technologies pouvant être étendu à l'ensemble du département d'ici le début de l'exercice 2023.

Un développement technologique déjà en cours est le Thunderdome, un contrat de 6.8 millions de dollars attribué à Booz Allen Hamilton plus tôt cette année. La technologie protégerait l'accès au Secure Internet Protocol Router Network, le transmetteur d'informations classifiées du Pentagone, selon un communiqué de presse de la Defense Information Systems Agency.

Il ne sera pas possible de moderniser complètement chaque plate-forme héritée avec une technologie telle que l'authentification multifacteur, souligne la stratégie. Cependant, les services peuvent mettre en place des garanties pour ces systèmes moins modernes dans l'intervalle.

Le pilier sécurisation des systèmes d'information passera également par l'automatisation des opérations d'intelligence artificielle et la sécurisation des communications à tous les niveaux.

L'automatisation des systèmes est un élément important de la confiance zéro, a déclaré Andy Stewart, stratège fédéral principal de la société de communications numériques Cisco Systems et ancien directeur de Fleet Cyber ​​Command/US Tenth Fleet. Si les processus derrière la confiance zéro ne fonctionnent pas bien, les gens peuvent avoir du mal à utiliser la technologie et adopter l'état d'esprit zéro confiance.

"La confiance zéro consiste à augmenter la sécurité, mais cela signifie également, 'Comment puis-je fonctionner plus efficacement?'", a-t-il déclaré. "L'expérience utilisateur devrait obtenir un vote."

Alors que la stratégie marque un tournant dans l'effort, le Pentagone s'est engagé sur la voie de la confiance zéro il y a des années. Sa stratégie de modernisation numérique de 2019 mentionnait que la confiance zéro était un concept d'initiative émergente qu'elle « explorait ».

Accepter des mesures de cybersécurité plus rigoureuses grâce à l'état d'esprit de confiance zéro est quelque chose sur lequel le Marine Corps travaille par le biais de l'éducation et de la sensibilisation, a déclaré Renata Spinks, directrice adjointe et directrice adjointe de l'information, du commandement, du contrôle, des communications et des ordinateurs et de l'information senior par intérim. agent de sécurité.

"Nous passons beaucoup de temps à éduquer, car si les gens savent ce qu'ils font et pourquoi ils le font... d'après mon expérience, ils embarqueront beaucoup plus tôt que de résister", a-t-elle déclaré.

Le mandat zéro confiance de 2021 de l'administration du président Joe Biden était "une aubaine" car il justifiait le personnel du Corps des Marines qui n'avait peut-être pas compris la nécessité de certaines des initiatives informatiques, a-t-elle déclaré.

Une mise en œuvre réussie du zéro confiance réduira les menaces pesant sur certains des types de capacités les plus critiques sur lesquels les combattants s'appuieront à l'avenir : le cloud, l'intelligence artificielle et le commandement, le contrôle, les communications, l'informatique et le renseignement.

L'armée a besoin de l'aide d'entrepreneurs de la défense pour protéger les données sensibles, a noté Spinks. L'industrie peut aider le personnel informatique de l'armée à comprendre comment travailler avec le type de données qu'il fournira et à quel point l'armée aura besoin d'y accéder.

"La confiance zéro ne sera pas une confiance zéro réussie si nous n'obtenons pas d'aide pour gérer les identités", a-t-elle déclaré.

Le Corps des Marines a récemment embauché un responsable des données de service qui pourrait utiliser les informations des sous-traitants sur le degré d'accès dont l'armée aura besoin pour trouver les meilleurs moyens de classer et de gérer les données du service, a-t-elle noté.

L'accès à des données sécurisées n'importe où aidera les militaires et le personnel de la base industrielle de la défense qui travaillent en dehors des heures de bureau et dans des endroits éloignés, selon la stratégie du Pentagone.

La poussée pour la confiance zéro est différente de certaines initiatives de cybersécurité car elle a du muscle derrière elle, a ajouté Spinks. Les dirigeants ont fourni des politiques et des procédures et sont prêts à être tenus responsables, a-t-elle déclaré.

« La cybersécurité n'est pas une entreprise bon marché. Mais je pense que ce qui le motive vraiment, c'est l'adversaire vicieux et toute l'activité non seulement au sein du gouvernement fédéral, mais même aux niveaux des États et locaux », a-t-elle déclaré.

De meilleures pratiques de cybersécurité seront également nécessaires pour sécuriser les chaînes d'approvisionnement, a noté Natarajan. Les rendre plus résilients, en particulier dans les technologies critiques telles que les semi-conducteurs, a été une priorité au Pentagone ces dernières années.

"Nous savons que cela est utilisé par des cyber-acteurs malveillants pour exploiter de nombreux risques de tiers après s'être attaqués à la chaîne d'approvisionnement d'une organisation", a-t-il déclaré.

C'est une autre raison pour laquelle le gouvernement ne peut pas travailler seul, a-t-il ajouté.

« Lorsque nous examinons cela, nous examinons cela non seulement du point de vue du secteur, mais également du point de vue des fonctions critiques nationales », a-t-il déclaré.

La CISA a publié des objectifs de performance en matière de cybersécurité pour que les entreprises se mesurent en octobre. Bien que les objectifs de performance ne mentionnent pas spécifiquement la confiance zéro, les objectifs sont destinés à être utilisés par les entreprises, quelle que soit leur taille.

"Nous les considérons vraiment comme la base minimale de cyberprotections qui réduira le reste des opérateurs d'infrastructures critiques", a-t-il déclaré. "Mais en fin de compte, en faisant cela, nous avons également un impact sur la sécurité nationale et la santé et la sécurité des Américains dans tout le pays."

Le secteur privé, à son tour, a besoin de l'investissement du gouvernement dans l'éducation et les ressources pour renforcer sa cyber main-d'œuvre.

"Le cyberespace implique non seulement le matériel et les logiciels, la technologie, vos tablettes, vos iPhones, votre technologie, mais il implique les gens. Les gens ont développé le cyberespace. Les gens utilisent le cyberespace. Nous sommes dans le cyberespace », a déclaré Kemba Walden, directeur adjoint principal du bureau du directeur national du cyberespace, lors de l'événement MeriTalk.

Pas encore à pleine capacité opérationnelle, le Bureau du directeur national de la cybersécurité a été créé en 2021 pour prendre la tête des questions de cybersécurité au niveau fédéral, y compris la première stratégie nationale de cybersécurité.

Tout aussi important que la stratégie globale sera le document national sur la main-d'œuvre et l'éducation qui sera publié après la stratégie de cybersécurité, a déclaré Walden.

"Nous avons jeté un coup d'œil et avons constaté qu'environ 700,000 2022 emplois aux États-Unis contenant le mot cybern'étaient pas pourvus", a-t-elle déclaré. Ce chiffre provient du rapport 2021 de la société d'études de marché Lightcast basé sur les données de XNUMX.

"En tant qu'avocate nationale de la cybersécurité et de la sécurité nationale, cela me fait peur", a-t-elle déclaré. "C'est un risque pour la sécurité nationale de mon point de vue."

Ces dernières années, des organisations telles que Joint Cyber ​​Defense Collaborative et le Cybersecurity Collaboration Center de la National Security Association ont vu le jour pour évaluer les besoins et recueillir les commentaires des grandes entreprises, a-t-elle déclaré.

"Ce sont les types d'efforts de collaboration qui, à mon avis, sont nécessaires pour faire évoluer la collaboration public-privé et le partage d'informations en général", a-t-elle déclaré.

En fin de compte, les avantages de la confiance zéro se répercutent sur le combattant, selon le document.

Par exemple, l'effort conjoint de commandement et de contrôle de tous les domaines du Pentagone - qui vise à relier les capteurs et les tireurs tout en utilisant l'intelligence artificielle pour prendre des décisions - repose sur la sécurité de ces données. Si cela tombe entre de mauvaises mains, les chefs militaires ne peuvent pas atteindre la domination de l'information, note la stratégie.

«Nous devons nous assurer que lorsque des acteurs malveillants tentent de violer nos défenses de confiance zéro; ils ne peuvent plus se déplacer librement à travers nos réseaux et menacent notre capacité à fournir un soutien maximal au combattant », a déclaré le directeur de l'information John Sherman dans la stratégie.

Lire l'histoire complète ici…