Le ministère américain de la Justice (DoJ) a établi un plan stratégique triennal pour renforcer sa posture de cybersécurité parmi d’autres priorités pour améliorer ses compétences, ses systèmes et ses processus informatiques.

D’autres objectifs primordiaux énoncés dans le Plan stratégique des technologies de l’information pour les exercices 2022-2024 se concentrer sur l’amélioration de la prestation de services, l’adoption de l’innovation, l’expansion de la main-d’œuvre et l’augmentation de la transparence financière.

Le DoJ affirme que la stratégie a été élaborée en réponse aux cybermenaces de plus en plus sophistiquées posées par les services de renseignement étrangers, les groupes criminels, les hacktivistes et les menaces internes.

Les autres influences citées étaient l’évolution des attentes des utilisateurs, la complexité croissante de la technologie, le besoin d’optimiser les ressources et la demande alimentée par la pandémie pour des modèles d’exploitation de main-d’œuvre distribuée.

Sécuriser la chaîne d’approvisionnement

La stratégie de cybersécurité est composée de quatre volets, dont la gestion proactive des risques de la chaîne d’approvisionnement informatique tout au long du cycle de vie informatique via deux initiatives clés.

La première initiative, a déclaré l’agence, consiste à développer « une compréhension approfondie, complète et continue de ses fournisseurs et des logiciels et matériels utilisés dans l’ensemble du Département » – en particulier pour les « chaînes d’approvisionnement les plus critiques ».

CONSEILLÉ HTTP/3 évolue vers RFC 9114 – un avantage en matière de sécurité, mais non sans défis

Cela aidera le DoJ à « se conformer à l’initiative pangouvernementale fédérale d’exiger une nomenclature des logiciels (SBOM) », qui offre une visibilité des composants utilisés dans les logiciels et des vulnérabilités qui s’y cachent.

Armée d’un SBOM, l’agence peut alors « développer une vision à l’échelle de l’entreprise pour surveiller les risques de la chaîne d’approvisionnement informatique » en « exploitant des outils existants comme SPDR [Security Posture Dashboard] et en créer de nouveaux, si nécessaire ».

Les processus existants pour l’examen des investissements et des acquisitions informatiques (ITAR), quant à eux, seront modifiés « pour nous assurer que nous pouvons identifier les achats informatiques présentant un risque élevé pour la chaîne d’approvisionnement au début du processus d’acquisition ».

Ne faites pas confiance, vérifiez

Le DoJ renforcera également sa « base de cybersécurité » en améliorant la gestion de l’inventaire des actifs, en modernisant la surveillance et la gestion du trafic Internet et en se concentrant « plus fortement sur l’évaluation continue des applications et des systèmes destinés au public pour les vulnérabilités exploitables ».

Un troisième pilier de la stratégie se concentre sur l’adoption de principes et d’outils de confiance zéro pour lutter contre les menaces basées sur l’accès.

Cela « supprime le concept de confiance implicite et nécessite à la place une approche contextuelle qui inclut l’application, l’utilisateur et l’appareil pour permettre aux décisions d’accès de s’ajuster en fonction du contexte de l’utilisateur », a expliqué le DoJ.

Entre autres choses, l’agence prévoit de réduire plus de 20 « fournisseurs d’identité » (IdP) actuels à un seul fournisseur afin de promouvoir des normes de sécurité cohérentes et de réduire la charge administrative.

Le dernier pilier de la sécurité informatique se concentre sur l’amélioration de la sécurité du cloud pour soutenir l’adoption croissante par le DoJ des technologies basées sur le cloud. Cela impliquera de centraliser et de rationaliser la surveillance du cloud pour piloter les analyses permettant d’identifier et de gérer les risques de cybersécurité et de mettre en œuvre un SPDR.

Priorités présidentielles

Le DoJ affirme que sa vision informatique a été alignée sur les priorités définies dans le programme de gestion du président Biden et le décret exécutif axé sur la cybersécurité signé l’année dernière, ainsi que son propre examen complet de la cybersécurité.

« Les cyberattaques défient constamment le DoJ et d’autres agences », déclare Melinda Rogers, directrice de l’information du DoJ et sous-procureure générale adjointe.

« Par conséquent, nous continuerons à protéger avec diligence les données critiques de l’agence grâce à une cyber-résilience accrue et à la réduction des risques tout en optimisant l’utilisation des données pour créer des produits consommables et intelligents. »

La stratégie du DoJ intervient alors que d’autres agences gouvernementales américaines, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), ont averti que les vulnérabilités « connues du public » mais souvent non corrigées – par opposition aux failles jusque-là inconnues (zero-day) – sont de plus en plus des cibles prioritaires pour les Chinois. acteurs de la menace.