NSA : Il est temps que la cybersécurité évolue. La maturité Zero Trust au sein du réseau

L'Agence nationale de sécurité des États-Unis (NSA) publie périodiquement des documents de référence, appelés fiches d'information sur la cybersécurité (CSI), qui décrivent les meilleures pratiques et les cadres permettant d'atteindre des objectifs spécifiques en matière de sécurité. 

L'objectif de ces documents est d'aider les agences gouvernementales et les entrepreneurs à atteindre les objectifs de la stratégie nationale de cybersécurité publiée par la Maison Blanche en mars 2023. Cependant, comme indiqué dans la rubrique "Audience" de la NSA CSI que nous allons aborder ici, « Advancing Zero Trust Maturity Throughout the Network and Environment Pillar » (Promouvoir la maturité Zero Trust au sein du pilier Réseau et environnement),

Les présentes CSI fournissent des conseils destinés principalement aux systèmes de sécurité nationale (NSS), au ministère de la défense (DoD) et à la base industrielle et technologique de défense (DIB). Cependant, elles peuvent être utiles aux propriétaires et aux opérateurs d'autres systèmes susceptibles d'être ciblés par des acteurs expérimentés.

Et comme ces derniers ciblent à peu près tous les systèmes qu'ils peuvent trouver, cette documentation sera utile à toute personne jouant un rôle de premier plan dans le domaine de la cybersécurité. 

Les sept piliers de la maturité Zero Trust

La NSA et diverses organisations partenaires identifient sept « piliers Zero Trust ». La NSA est en train de publier des CSI pour chaque pilier. Les piliers sont :

• Utilisateur : authentifier, évaluer et surveiller en permanence les schémas d'activité des utilisateurs afin de régir leur accès et leurs privilèges tout en protégeant et en sécurisant toutes les interactions.

• Appareil : connaître la santé et l'état des dispositifs afin d'éclairer les décisions en matière de risques. L'inspection, l'évaluation et les correctifs en temps réel informent chaque demande d'accès.

• Application et workload : sécurisez tout, des applications aux hyperviseurs, en passant par la protection des conteneurs et des machines virtuelles.

• Données : la transparence et la visibilité des données sont rendues possibles et sécurisées par l'infrastructure de l'entreprise, les applications, les normes, le chiffrement fiable de bout en bout et le marquage des données.

• Réseau et environnement : segmentez, isolez et contrôlez (physiquement et logiquement) l'environnement du réseau à l'aide d'une politique granulaire et de contrôles d'accès.

• Automatisation et orchestration : automatisez la réponse de sécurité en fonction de processus définis et de politiques de sécurité activées par l'IA, par exemple en bloquant des actions ou en imposant des mesures correctives sur la base de décisions intelligentes.

• Visibilité et analyses : analysez les événements, les activités et les comportements pour en déduire le contexte et appliquez l'intelligence artificielle et le machine learning pour obtenir un modèle hautement personnalisé qui améliore la détection et le temps de réaction lors de la prise de décisions quant aux accès en temps réel.

L’idée est que les organisations devraient s’efforcer de mettre en œuvre et de mettre à jour continuellement des contrôles Zero Trust pour ces sept piliers afin de garantir une sécurité optimale contre ces acteurs malveillants avisés et de minimiser le risque de violations et de vols de données qui pourraient s'avérer très coûteux.

Zero Trust pour le pilier Réseau et Environnement

L'introduction au pilier Réseau et environnement (N&E) des CSI décrit un exemple de violation de données dévastatrice qui aurait pu être évitée par la mise en œuvre de pratiques Zero Trust. 

En bref, des criminels ont obtenu les informations de connexion d'une entreprise de HVAC qui fournissait des services à un grand détaillant. Pour contrôler le système de chauffage, de ventilation et de climatisation de son client, cette entreprise avait reçu des autorisations d'accès au réseau du client. Les criminels ont donc pu faire de même. Et comme le détaillant ne disposait pas de politiques appropriées de segmentation et de contrôle d'accès, ils ont ensuite chargé un malware sur le système de POS du détaillant et ont volé les informations relatives à environ 40 millions de cartes de débit et de crédit.

L'introduction se poursuit :

La sécurité classique des réseaux met l'accent sur une approche de défense approfondie ; cependant, la plupart des réseaux investissent principalement dans la défense du périmètre. Une fois dans le périmètre du réseau, les utilisateurs finaux, les applications et les autres entités bénéficient souvent d'un large accès à de multiples ressources de l'entreprise. Si des utilisateurs ou des composants du réseau sont compromis, des acteurs malveillants peuvent accéder à des ressources critiques au sein ou hors du réseau. Idéalement, les organisations devraient gérer, surveiller et restreindre les flux de trafic internes et externes.

En d'autres termes, il est essentiel de reconnaître que la défense du périmètre n'est pas la solution miracle. Ou, plus simplement, il est temps pour les professionnels de la cybersécurité de faire preuve de maturité et de commencer à prendre au sérieux la défense approfondie.

Le reste des ICS fournit des explications détaillées sur la manière de se préparer et d'atteindre une maturité de base, intermédiaire et avancée dans quatre aspects différents de la sécurité Zero Trust du réseau et de l'environnement :

• Cartographie des flux de données : identifie le cheminement des données au sein d'une organisation et décrit comment ces données sont transférées d'un endroit ou d'une application à l'autre.

• Macro-segmentation : permet d'exercer un contrôle de haut niveau sur le trafic circulant entre les différentes zones du réseau d'une organisation en divisant le réseau en plusieurs composants distincts, chacun d'entre eux répondant à des exigences de sécurité différentes.

• Micro-segmentation :sécurité à un niveau granulaire en divisant une partie du réseau en éléments plus petits afin de limiter la circulation latérale des données grâce à des politiques d'accès strictes. 

• Réseau défini par logiciel : offre des avantages uniques en termes de granularité grâce à la micro-segmentation, à l'adaptabilité et à la gestion centralisée des politiques. L'intégration de composants SDN dans l'infrastructure existante peut également permettre de personnaliser le contrôle de la sécurité et les alertes.

Découvrez comment Barracuda peut vous aider

À moins que vous ne soyez très en avance sur la mise en œuvre des modèles Zero Trust pour les sept piliers, je vous recommande vivement de mettre la main sur les ICS « Advancing Zero Trust Maturity » (La maturité Zero Trust avancée) que la NSA est en train de publier. Ils sont clairs et concis, et ils fournissent une feuille de route précieuse et gérable pour atteindre une sécurité Zero Trust mature pour chacun des piliers.

Pour le Zero Trust pour le pilier réseau et environnement, Barracuda SecureEdge peut considérablement accélérer votre progression pour cette feuille de route. Il s'agit de notre plateforme SASE (Secure Access Service Edge) avancée qui intègre diverses fonctionnalités avancés : firewall en tant que service, contrôles d'accès Zero Trust, visibilité et contrôle des flux de données, connectivité SD-WAN, etc. qui rendent extrêmement simple la réalisation et le maintien au fil du temps des quatre aspects de la sécurité décrits dans le NSA ICS.