cybersécurité des commandes d'exécutif

Le décret sur l'amélioration de la cybersécurité : Principaux points à retenir pour les MSP

Thèmes :
Version imprimable, PDF et e-mail

Les attaques par ransomware ne se contentent pas de se multiplier, elles visent également un nombre croissant d'entreprises et de services essentiels. Plusieurs administrations municipales et systèmes hospitaliers en ont fait les frais au cours des dernières années. Les récentes attaques perpétrées contre Colonial Pipeline (pénuries de carburant et flambée des prix dans certaines régions des États-Unis), le service de santé irlandais et la Massachusetts Steamship Authority, entre autres, ont rappelé à quel point les infrastructures stratégiques peuvent être vulnérables aux cyberattaques.

Révélatrice, l'attaque contre Colonial est un véritable « cas d'école » : les pirates informatiques se sont servis du mot de passe compromis d'un compte VPN inutilisé et non protégé par l'authentification multifacteur.

En mai dernier, la Maison Blanche a publié un décret sur l'amélioration de la cybersécurité du pays. Il vise à renforcer les normes de cybersécurité, en mettant l'accent sur les solutions d'architecture « zero trust ». Cette initiative pourrait ouvrir de nouvelles perspectives aux MSP orientés sécurité, à condition de disposer des solutions adéquates.

Mesures d'urgence sécuritaire

Voici un extrait du décret américain :

« Des améliorations progressives ne nous apporteront pas la sécurité dont nous avons besoin ; au contraire, le gouvernement fédéral doit procéder à des changements audacieux et à des investissements importants pour défendre les institutions vitales qui soutiennent le mode de vie américain. Le gouvernement fédéral doit mobiliser l'ensemble de ses pouvoirs et de ses ressources pour protéger et sécuriser ses systèmes informatiques, qu'ils soient basés sur site, dans le cloud ou hybrides. »

Les mesures décrites dans le décret portent sur plusieurs domaines d'action :

  • Lever les obstacles au partage des informations sur les menaces entre les secteurs public et privé. Les fournisseurs de services seront tenus de partager les informations sur les menaces et les incidents avec les agences.
  • Déployer une architecture zero trust pour moderniser et renforcer la cybersécurité. Le décret vise également à accélérer le passage des agences fédérales aux services de sécurité dans le cloud, notamment SaaS, IaaS et PaaS. Il exige en outre que les agences fédérales centralisent et simplifient l'accès aux données de cybersécurité afin de mieux identifier et gérer les risques informatiques, et qu'elles réalisent les investissements nécessaires en matière de technologie et de personnel pour atteindre ces objectifs de modernisation.
  • Établir des normes de sécurité de base pour les logiciels utilisés par les agences fédérales. Les éditeurs de logiciels seront tenus de fournir une visibilité sur les données de sécurité.
  • Établir un guide de référence en matière de réponse aux cyberincidents dans les 120 jours suivant le décret : « Les procédures de réponse actuellement utilisées pour détecter et corriger les vulnérabilités et les incidents de cybersécurité affectant leurs systèmes varient d'une agence à l'autre, ce qui empêche les agences de référence d'analyser les vulnérabilités et les incidents de manière plus complète sur l'ensemble du parc. »
  • Améliorer les processus de détection, d'investigation et de correction des cybermenaces en instaurant une stratégie EDR (Endpoint Detection and Response). Le décret prévoit un délai de 30 jours pour les recommandations et de 90 jours supplémentaires pour les exigences.

Le décret laissait 60 jours au directeur de chaque agence fédérale pour élaborer un plan de mise en œuvre d'une architecture zero trust. Le passage à la technologie cloud devra suivre une méthodologie zero trust (dans la mesure du possible).

Bien que ses répercussions puissent prendre un certain temps avant d'affecter le marché des solutions de sécurité, le décret prévoit un calendrier serré et pourrait inciter d'autres secteurs à adopter des mesures similaires.

Le fait que l'attaque contre Colonial se soit produite via une connexion VPN exposée doit nous rappeler que les approches en matière d'accès à distance doivent évoluer, en particulier compte tenu de la dépendance accrue au télétravail qui a émergé pendant la pandémie et qui est appelée à se poursuivre.

Les solutions d'accès à distance traditionnelles sont vulnérables dans la mesure où chaque connexion fait office de vérification. Un appareil compromis peut rapidement accéder au réseau. Avec l'accès réseau zero trust (ZTNA) cependant, l'utilisateur et le dispositif sont rigoureusement vérifiés avant de pouvoir accéder au réseau, ce qui réduit considérablement les risques.

Le gouvernement américain ayant placé l'approche zero trust au cœur de ses plans de cybersécurité, les MSP peuvent promouvoir cette technologie auprès de l'ensemble de leurs entreprises clientes (publiques ou privées). Cela dit, les MSP qui ont déjà mis en place un modèle orienté sécurité fournissent probablement déjà des outils et des services qui s'appuient sur des approches en adéquation avec le décret : zero trust, authentification multifacteur, etc.

Les personnes qui suivent de près l'évolution des menaces liées aux ransomwares n'ont sans doute pas été surprises par les récentes attaques. En revanche, les entreprises qui étaient satisfaites de leur stratégie de sécurité ou qui pensaient que leur réseau ne présentaient que peu d'intérêt pour les cybercriminels sont averties : aucun réseau n'est à l'abri des cybercriminels. Les récents décrets du gouvernement fédéral reflètent ce que les MSP orientés sécurité savaient déjà, à savoir que les méthodes utilisées pour protéger les réseaux stratégiques doivent évoluer pour faire face à cette menace croissante.

Article initialement publié sur Channel Futures.

Remonter en haut de page
Tweeter
Partager
Partager