Chronologie du zéro trust dans le système fédéral

Le NIST SP 800-207 introduit le concept d’architecture zéro trust et donne les directives nécessaires à sa mise en œuvre.

Le NIST SP 800-207 introduit le concept d'architecture zéro trust et donne les directives nécessaires à sa mise en œuvre.
Décret sur l'amélioration de la cybersécurité de la nation

Le décret 14028 (« Executive Order on Improving the Nation’s Cybersecurity ») impose aux agences fédérales de développer des architectures zéro trust.

Le mémorandum OMB M-22-09 (« Moving the U.S. Government Toward Zero Trust Cybersecurity Principles ») définit une stratégie zéro trust au niveau fédéral et exige des agences qu’elles respectent des normes et des objectifs précis en matière de cybersécurité d’ici la fin de l’année fiscale 2024.

Moving the U.S. Government Toward Zero Trust Cybersecurity Principles
Federal Zero Trust Strategy

La stratégie zéro trust de l’OMB (« Federal Zero Trust Strategy ») décrit en détail la transition de l’ensemble du gouvernement vers une approche de cybersécurité zéro trust.

La CISA a publié le « Zero Trust Maturity Model » qui fournit aux agences fédérales une feuille de route pour la mise en œuvre d’architectures zéro trust.

Zero Trust Maturity Model
NSA Zero Trust Maturity for Data Pillars

La NSA publie un rapport « Zero Trust Maturity for Data Pillars », qui définit les 7 volets de données et modèles de maturité correspondants pour le Système de sécurité nationale, le DoD

Les risques couverts par le modèle « Zero trust Data »

Les stratégies classiques de sécurité reposent souvent sur des mesures de protection périphériques. Or, les incidents récents montrent que les pirates qui s’introduisent dans les systèmes informatiques ont facilement accès à toutes les données qui s’y trouvent.

Evolving Threat Landscape

Évolution du paysage des menaces

Les modèles de sécurité traditionnels basés sur le périmètre ne suffisent plus face aux cybermenaces avancées qui touchent les agences gouvernementales et les prestataires de la défense. Les attaquants exploitent les vulnérabilités pour obtenir un accès non autorisé à des données sensibles, ce qui nécessite un changement de paradigme en faveur des principes zéro trust. Le rapport de la NSA fournit aux agences fédérales, au DoD et aux entreprises travaillant pour la défense les outils nécessaires pour atténuer les risques et protéger les données contre les menaces en constante évolution.

Complexities of Data Management

Complexité de la gestion des données

La diffusion des données dans divers environnements complique la protection des données pour les agences fédérales et les industries du secteur de la défense. Les organisations gouvernementales ont du mal à garder la visibilité et le contrôle sur leurs données, surtout lorsqu’elles sortent des réseaux traditionnels. Le guide de la NSA a été conçu pour aider les agences fédérales, le DoD et les organisations de la DIB à définir une gouvernance des données, un étiquetage et des contrôles d’accès structurés.

Ensuring Compliance and Interoperability

Assurer la conformité et l’interopérabilité

La protection des données sensibles du gouvernement implique le respect des normes telles que NIST, CMMC, et FedRAMP. Le cadre « zero trust data pillar » de la NSA permet aux agences fédérales, au DoD et aux organisations DIB d’appliquer des politiques d’accès granulaires, de surveiller l’utilisation des données et d’empêcher toute fuite non autorisée. Ce faisant, il favorise la conformité règlementaire et le partage sécurisé des données en dehors du périmètre des organisations.

Kiteworks, la solution pour être conforme au cadre « Zero Trust » de la NSA au niveau des données

Le réseau de contenu privé de Kiteworkset la gestion des droits numériques dernière génération respectent les 7 éléments du cadre zéro trust de la NSA sur les données. Kiteworks est l’allié des agences fédérales, du DoD et des organisations de la DIB en matière de sécurité des données et de conformité règlementaire. Son approche zéro trust définie par le contenu garantit que les données gouvernementales sensibles restent protégées tout au long de leur cycle de vie. Ainsi, les agences fédérales, le DoD et les organisations de la DIB peuvent collaborer et partager des données en toute sécurité avec des milliers de sous-traitants du gouvernement.

Data Catalog Risk Alignment

Gestion des risques en fonction des données

Avec une visibilité complète de toute l’activité liée aux données, Kiteworks facilite l’évaluation des risques et la mise à jour continue du catalogue pour les agences fédérales et les entreprises de la défense. Les fonctionnalités d’analyse et de reporting avancées de la plateforme donnent aux organisations gouvernementales les moyens d’identifier et de hiérarchiser leurs actifs de données les plus critiques. Ainsi, les efforts de protection des données sont en phase avec les stratégies de gestion des risques de l’entreprise.

Gouvernance des données d’entreprise

Les politiques de Kiteworks automatisent les flux de travail et l’application des règles de gouvernance des données en accord avec les principes du zéro trust. La plateforme assure une gestion cohérente des données, des contrôles d’accès et de sécurité, permettant aux organisations gouvernementales de garder le contrôle de leurs données et de se conformer aux exigences réglementaires.

Enterprise Data Governance
Data Labeling and Tagging

Étiquetage et marquage des données

Kiteworks s’intègre aux outils de classification des données pour appliquer des étiquettes et des balises de manière cohérente, garanties que les données gouvernementales sensibles sont traitées en fonction de leur sensibilité. L’étiquetage granulaire permet des contrôles d’accès automatiques et réduit le risque d’accès non autorisé. Il facilite également le partage des données et la collaboration en toute sécurité entre les agences fédérales, le DoD et les organisations de la DIB.

Détection et surveillance des données

Kiteworks a des fonctionnalités de surveillance avancées pour suivre en temps réel les mouvements de données et les activités des utilisateurs. C’est une aide précieuse pour détecter les menaces de manière proactive dans les agences fédérales et les entreprises du secteur de la défense. Les analyses avancées de la plateforme et l’intégration avec les outils SIEM offrent une vue d’ensemble de la sécurité des données. Autrement dit, les organisations gouvernementales peuvent détecter les comportements anormaux et y réagir rapidement.

Data Monitoring and Sensing
Data Labeling and Tagging

Data Chiffrement des données et gestion des droits

Avec Kiteworks, le chiffrement des données est transparent et des contrôles DRM empêchent l’accès non autorisé et la diffusion d’informations gouvernementales sensibles. La plateforme garantit la sécurité des données tout au long de leur cycle de vie, même en cas d’accès par des personnes non autorisées. Enfin, elle permet aux administrateurs de révoquer immédiatement un accès en fonction de l’évolution de la situation.

Préventiondes pertes de données

Les fonctions DLP intégrées de Kiteworks sont conçues pour détecter et prévenir d’éventuelles violations, en protégeant les données gouvernementales sensibles contre les transferts non autorisés. Le système DLP de Kiteworks identifie le contenu sensible en fonction de politiques prédéfinies et d’étiquettes de données, et applique automatiquement des mesures de protection telles que le blocage, la mise en quarantaine ou le chiffrement des données.

Data Loss Prevention
Data Access Control

Contrôle d’accès aux données

Kiteworks prévoit des contrôles d’accès granulaires basés sur des attributs pour adapter les permissions en fonction de l’évolution des menaces et du contexte. La plateforme intègre l’authentification multifactorielle, l’authentification unique et l’authentification continue afin de garantir que les données gouvernementales sensibles ne sont accessibles que dans les bonnes circonstances, par les utilisateurs et les appareils autorisés.

Questions Fréquentes

Les recommandations de la NSA sur le pilier de données de confiance zéro sont spécifiquement conçues pour répondre aux défis de sécurité uniques auxquels sont confrontées les agences fédérales, le DoD et les organisations DIB. Contrairement à d’autres cadres de cybersécurité qui proposent une approche générale de la sécurité, les recommandations de la NSA se concentrent sur le pilier des données et décrivent un modèle de maturité progressif pour la mise en œuvre de contrôles de sécurité centrés sur les données. Cette approche permet aux organisations d’améliorer progressivement leur posture de protection des données, en alignement avec les principes de la confiance zéro. Les recommandations mettent également l’accent sur l’importance de la sécurité définie par le contenu, garantissant que les données restent protégées tout au long de leur cycle de vie, indépendamment de leur emplacement ou de la manière dont elles sont accédées.

Pour s’assurer de l’alignement avec les recommandations de la NSA sur le pilier de données de confiance zéro, les agences fédérales, le DoD et les organisations DIB devraient réaliser une évaluation approfondie de leurs pratiques actuelles de protection des données et identifier les domaines à améliorer. Cette évaluation devrait couvrir les sept niveaux de maturité décrits dans les recommandations de la NSA, incluant l’alignement des risques du catalogue de données, la gouvernance des données d’entreprise, l’étiquetage et le marquage des données, la surveillance et la détection des données, le chiffrement des données et la gestion des droits, la prévention de la perte de données et le contrôle d’accès aux données. S’associer à un fournisseur de solutions de confiance comme Kiteworks aide les organisations à simplifier ce processus et à garantir que leurs mesures de protection des données sont efficaces, conformes et alignées avec les recommandations de la NSA sur le pilier de données de confiance zéro.

Ne pas mettre en œuvre les recommandations de la NSA sur le pilier de données de confiance zéro peut avoir de graves conséquences pour les agences fédérales, le DoD et les organisations DIB. Sans mesures de protection des données adéquates, ces organisations courent un risque accru de violations de données, d’accès non autorisé et de perte de données. Cela peut conduire à l’exposition d’informations gouvernementales sensibles, compromettant la sécurité nationale et érodant la confiance du public. En ne adoptant pas les recommandations de la NSA sur le pilier de données de confiance zéro, les agences fédérales, le DoD et les organisations DIB pourraient se trouver mal équipées pour se défendre contre les cybermenaces sophistiquées, laissant leurs actifs les plus précieux vulnérables aux attaques.

Kiteworks propose une plateforme complète qui permet aux agences fédérales, au DoD et aux organisations DIB d’accélérer leur adoption des recommandations de la NSA sur le pilier de données de confiance zéro. Le Réseau de contenu privé Kiteworks est conçu pour s’aligner sur les sept niveaux de maturité décrits dans les recommandations de la NSA, offrant une gamme de capacités avancées de protection des données. Ces capacités incluent l’alignement des risques du catalogue de données, la gouvernance des données d’entreprise, l’étiquetage et le marquage automatiques des données, une surveillance et détection robustes des données, des contrôles intégrés de chiffrement et de gestion des droits numériques (DRM) granulaires, des fonctionnalités avancées de prévention de la perte de données (DLP) et un contrôle d’accès basé sur les attributs (ABAC) pour l’application de politiques d’accès fines et sensibles au contexte.

Les recommandations de la NSA sur le pilier de données de confiance zéro reconnaissent l’importance du partage sécurisé des données et de la collaboration entre les agences fédérales, le DoD et les organisations DIB, et fournissent un cadre pour relever les défis associés à ces activités. Les recommandations soulignent la nécessité de contrôles d’accès granulaires, d’étiquetage et de marquage des données, et d’une surveillance continue pour garantir que les informations sensibles ne sont partagées qu’avec les parties autorisées et dans les bonnes circonstances. En mettant en œuvre les recommandations de la NSA, les organisations peuvent établir une base sécurisée pour le partage des données et la collaboration, en exploitant des technologies telles que la gestion des droits numériques (DRM) et le contrôle d’accès basé sur les attributs (ABAC) pour appliquer des politiques d’accès fines et sensibles au contexte.

Sécurisez vos communications de contenu sensible

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Explore Kiteworks