Les professionnels de l’infosec ont réagi favorablement au pivot prévu par le gouvernement américain vers un modèle de cybersécurité « zéro confiance ».

Mercredi 26 janvier, l’Office of Management and Budget (OMB) des États-Unis a publié une stratégie pour mettre en œuvre un changement à l’échelle du gouvernement fédéral des défenses basées sur le périmètre vers une architecture de confiance zéro.

Le directif (PDF) fixe aux agences fédérales une date limite de fin d’exercice 2024 pour atteindre divers objectifs stratégiques qui s’alignent sur les cinq piliers de la Cybersecurity and Infrastructure Security Agency (CISA) pour maturité zéro confiance.

Qu’est-ce que la confiance zéro ?

Bien que les désaccords abondent sur la définition précise, la confiance zéro peut être généralement caractérisée comme ne faisant pas confiance aux utilisateurs ou aux appareils par défaut, même s’ils ont déjà été vérifiés et se situent dans le périmètre théorique de l’entreprise.

Le modèle prescrit donc une vérification continue des utilisateurs, des fichiers, des terminaux, des réseaux, des processus du système d’exploitation, etc., sur toutes les surfaces à risque.

Bob Seigneur, OSC pour le Comité national démocrate entre 2017-2021, tweeté son approbation de la stratégie de la Maison Blanche : « Je vous encourage à le lire même si vous ne travaillez pas avec le gouvernement fédéral américain », a-t-il déclaré, ajoutant que « chaque organisation[anization] devraient comparer leur feuille de route 2022 à celle-ci et envisager les ajustements appropriés ».

Lord, qui, en tant que Yahoo CSO, a hérité des retombées de deux des les plus grandes violations de données jamais enregistrées, a signalé comme digne de mention la prescription de la directive pour une « authentification résistante au phishing » telle que les clés de sécurité. Le mémo notait que l’authentification multifacteur (MFA) échouait souvent à se défendre contre les attaques de phishing, les utilisateurs étant potentiellement «dupés en fournissant un code à usage unique», par exemple.

Les ordres d’abandonner les rotations régulières des mots de passe et les politiques de mot de passe qui nécessitent des caractères spéciaux, ainsi que les instructions pour migrer le DNS vers le DNS sécurisé, un protocole de réseau plus sécurisé et crypté, sont également importants, a poursuivi Lord.

La directive stipule également que «les agences doivent accueillir les rapports de vulnérabilité externes pour leurs systèmes accessibles sur Internet d’ici septembre 2022 et structurer les canaux de signalement de sorte que les propriétaires de systèmes aient un accès direct et en temps réel aux rapports de vulnérabilité entrants».

Catalogage des actifs

Le co-fondateur de Sevco Security, Greg Fitzgerald, a approuvé les instructions selon lesquelles les agences maintiennent un inventaire complet de tous les appareils autorisés pour une utilisation fédérale.

« Chaque réseau a perdu ou abandonné des actifs informatiques qui ne sont pas détectés », a-t-il déclaré. « Personne ne catalogue les actifs qu’il ne connaît pas, et personne ne corrige les actifs qu’il ne catalogue pas. Tant que les organisations ne pourront pas rendre compte de tous les actifs, y compris ceux qui ont été oubliés, une véritable approche zéro confiance sera impossible.

Le directeur technique de Cloudflare, John Engates, a quant à lui déclaré que la directive « signale que le gouvernement fédéral prend au sérieux les menaces de cybersécurité et adopte une stratégie qui protégera mieux la cyberinfrastructure du pays ».

Une première version de la stratégie a été publiée en septembre 2021 afin de donner aux experts en confidentialité des données et en cybersécurité la possibilité de donner leur avis.

« Il était extrêmement important pour nous de travailler en collaboration avec les meilleurs experts du gouvernement, de l’industrie et du milieu universitaire et de parvenir à un consensus autour des points de départ les plus précieux pour une architecture de confiance zéro défendable », a déclaré Chris DeRusha, RSSI fédéral et directeur national adjoint de la cybersécurité, dans une Maison Blanche communiqué de presse. « Cette stratégie servira de base à un changement de paradigme dans la cybersécurité fédérale et fournira un modèle à suivre pour les autres. »

La note fait suite à une autre directive récente de la Maison Blanche visant à élever les normes de sécurité informatique pour les systèmes liés à la sécurité nationale, et à une série d’annonces liées à la cybersécurité émanant de la Maison Blanche depuis l’entrée en fonction du président Biden en janvier 2021.