Chronologie du zéro trust dans le système fédéral
Le NIST SP 800-207 introduit le concept d’architecture zéro trust et donne les directives nécessaires à sa mise en œuvre.
Le décret 14028 (« Executive Order on Improving the Nation’s Cybersecurity ») impose aux agences fédérales de développer des architectures zéro trust.
Le mémorandum OMB M-22-09 (« Moving the U.S. Government Toward Zero Trust Cybersecurity Principles ») définit une stratégie zéro trust au niveau fédéral et exige des agences qu’elles respectent des normes et des objectifs précis en matière de cybersécurité d’ici la fin de l’année fiscale 2024.
La stratégie zéro trust de l’OMB (« Federal Zero Trust Strategy ») décrit en détail la transition de l’ensemble du gouvernement vers une approche de cybersécurité zéro trust.
La CISA a publié le « Zero Trust Maturity Model » qui fournit aux agences fédérales une feuille de route pour la mise en œuvre d’architectures zéro trust.
La NSA publie un rapport « Zero Trust Maturity for Data Pillars », qui définit les 7 volets de données et modèles de maturité correspondants pour le Système de sécurité nationale, le DoD
Les risques couverts par le modèle « Zero trust Data »
Les stratégies classiques de sécurité reposent souvent sur des mesures de protection périphériques. Or, les incidents récents montrent que les pirates qui s’introduisent dans les systèmes informatiques ont facilement accès à toutes les données qui s’y trouvent.
Évolution du paysage des menaces
Les modèles de sécurité traditionnels basés sur le périmètre ne suffisent plus face aux cybermenaces avancées qui touchent les agences gouvernementales et les prestataires de la défense. Les attaquants exploitent les vulnérabilités pour obtenir un accès non autorisé à des données sensibles, ce qui nécessite un changement de paradigme en faveur des principes zéro trust. Le rapport de la NSA fournit aux agences fédérales, au DoD et aux entreprises travaillant pour la défense les outils nécessaires pour atténuer les risques et protéger les données contre les menaces en constante évolution.
Complexité de la gestion des données
La diffusion des données dans divers environnements complique la protection des données pour les agences fédérales et les industries du secteur de la défense. Les organisations gouvernementales ont du mal à garder la visibilité et le contrôle sur leurs données, surtout lorsqu’elles sortent des réseaux traditionnels. Le guide de la NSA a été conçu pour aider les agences fédérales, le DoD et les organisations de la DIB à définir une gouvernance des données, un étiquetage et des contrôles d’accès structurés.
Assurer la conformité et l’interopérabilité
La protection des données sensibles du gouvernement implique le respect des normes telles que NIST, CMMC, et FedRAMP. Le cadre « zero trust data pillar » de la NSA permet aux agences fédérales, au DoD et aux organisations DIB d’appliquer des politiques d’accès granulaires, de surveiller l’utilisation des données et d’empêcher toute fuite non autorisée. Ce faisant, il favorise la conformité règlementaire et le partage sécurisé des données en dehors du périmètre des organisations.
Kiteworks, la solution pour être conforme au cadre « Zero Trust » de la NSA au niveau des données
Le réseau de contenu privé de Kiteworkset la gestion des droits numériques dernière génération respectent les 7 éléments du cadre zéro trust de la NSA sur les données. Kiteworks est l’allié des agences fédérales, du DoD et des organisations de la DIB en matière de sécurité des données et de conformité règlementaire. Son approche zéro trust définie par le contenu garantit que les données gouvernementales sensibles restent protégées tout au long de leur cycle de vie. Ainsi, les agences fédérales, le DoD et les organisations de la DIB peuvent collaborer et partager des données en toute sécurité avec des milliers de sous-traitants du gouvernement.
Gestion des risques en fonction des données
Avec une visibilité complète de toute l’activité liée aux données, Kiteworks facilite l’évaluation des risques et la mise à jour continue du catalogue pour les agences fédérales et les entreprises de la défense. Les fonctionnalités d’analyse et de reporting avancées de la plateforme donnent aux organisations gouvernementales les moyens d’identifier et de hiérarchiser leurs actifs de données les plus critiques. Ainsi, les efforts de protection des données sont en phase avec les stratégies de gestion des risques de l’entreprise.
Gouvernance des données d’entreprise
Les politiques de Kiteworks automatisent les flux de travail et l’application des règles de gouvernance des données en accord avec les principes du zéro trust. La plateforme assure une gestion cohérente des données, des contrôles d’accès et de sécurité, permettant aux organisations gouvernementales de garder le contrôle de leurs données et de se conformer aux exigences réglementaires.
Étiquetage et marquage des données
Kiteworks s’intègre aux outils de classification des données pour appliquer des étiquettes et des balises de manière cohérente, garanties que les données gouvernementales sensibles sont traitées en fonction de leur sensibilité. L’étiquetage granulaire permet des contrôles d’accès automatiques et réduit le risque d’accès non autorisé. Il facilite également le partage des données et la collaboration en toute sécurité entre les agences fédérales, le DoD et les organisations de la DIB.
Détection et surveillance des données
Kiteworks a des fonctionnalités de surveillance avancées pour suivre en temps réel les mouvements de données et les activités des utilisateurs. C’est une aide précieuse pour détecter les menaces de manière proactive dans les agences fédérales et les entreprises du secteur de la défense. Les analyses avancées de la plateforme et l’intégration avec les outils SIEM offrent une vue d’ensemble de la sécurité des données. Autrement dit, les organisations gouvernementales peuvent détecter les comportements anormaux et y réagir rapidement.
Data Chiffrement des données et gestion des droits
Avec Kiteworks, le chiffrement des données est transparent et des contrôles DRM empêchent l’accès non autorisé et la diffusion d’informations gouvernementales sensibles. La plateforme garantit la sécurité des données tout au long de leur cycle de vie, même en cas d’accès par des personnes non autorisées. Enfin, elle permet aux administrateurs de révoquer immédiatement un accès en fonction de l’évolution de la situation.
Préventiondes pertes de données
Les fonctions DLP intégrées de Kiteworks sont conçues pour détecter et prévenir d’éventuelles violations, en protégeant les données gouvernementales sensibles contre les transferts non autorisés. Le système DLP de Kiteworks identifie le contenu sensible en fonction de politiques prédéfinies et d’étiquettes de données, et applique automatiquement des mesures de protection telles que le blocage, la mise en quarantaine ou le chiffrement des données.
Contrôle d’accès aux données
Kiteworks prévoit des contrôles d’accès granulaires basés sur des attributs pour adapter les permissions en fonction de l’évolution des menaces et du contexte. La plateforme intègre l’authentification multifactorielle, l’authentification unique et l’authentification continue afin de garantir que les données gouvernementales sensibles ne sont accessibles que dans les bonnes circonstances, par les utilisateurs et les appareils autorisés.
Questions Fréquentes
Les recommandations de la NSA sur le pilier de données de confiance zéro sont spécifiquement conçues pour répondre aux défis de sécurité uniques auxquels sont confrontées les agences fédérales, le DoD et les organisations DIB. Contrairement à d’autres cadres de cybersécurité qui proposent une approche générale de la sécurité, les recommandations de la NSA se concentrent sur le pilier des données et décrivent un modèle de maturité progressif pour la mise en œuvre de contrôles de sécurité centrés sur les données. Cette approche permet aux organisations d’améliorer progressivement leur posture de protection des données, en alignement avec les principes de la confiance zéro. Les recommandations mettent également l’accent sur l’importance de la sécurité définie par le contenu, garantissant que les données restent protégées tout au long de leur cycle de vie, indépendamment de leur emplacement ou de la manière dont elles sont accédées.
Pour s’assurer de l’alignement avec les recommandations de la NSA sur le pilier de données de confiance zéro, les agences fédérales, le DoD et les organisations DIB devraient réaliser une évaluation approfondie de leurs pratiques actuelles de protection des données et identifier les domaines à améliorer. Cette évaluation devrait couvrir les sept niveaux de maturité décrits dans les recommandations de la NSA, incluant l’alignement des risques du catalogue de données, la gouvernance des données d’entreprise, l’étiquetage et le marquage des données, la surveillance et la détection des données, le chiffrement des données et la gestion des droits, la prévention de la perte de données et le contrôle d’accès aux données. S’associer à un fournisseur de solutions de confiance comme Kiteworks aide les organisations à simplifier ce processus et à garantir que leurs mesures de protection des données sont efficaces, conformes et alignées avec les recommandations de la NSA sur le pilier de données de confiance zéro.
Ne pas mettre en œuvre les recommandations de la NSA sur le pilier de données de confiance zéro peut avoir de graves conséquences pour les agences fédérales, le DoD et les organisations DIB. Sans mesures de protection des données adéquates, ces organisations courent un risque accru de violations de données, d’accès non autorisé et de perte de données. Cela peut conduire à l’exposition d’informations gouvernementales sensibles, compromettant la sécurité nationale et érodant la confiance du public. En ne adoptant pas les recommandations de la NSA sur le pilier de données de confiance zéro, les agences fédérales, le DoD et les organisations DIB pourraient se trouver mal équipées pour se défendre contre les cybermenaces sophistiquées, laissant leurs actifs les plus précieux vulnérables aux attaques.
Kiteworks propose une plateforme complète qui permet aux agences fédérales, au DoD et aux organisations DIB d’accélérer leur adoption des recommandations de la NSA sur le pilier de données de confiance zéro. Le Réseau de contenu privé Kiteworks est conçu pour s’aligner sur les sept niveaux de maturité décrits dans les recommandations de la NSA, offrant une gamme de capacités avancées de protection des données. Ces capacités incluent l’alignement des risques du catalogue de données, la gouvernance des données d’entreprise, l’étiquetage et le marquage automatiques des données, une surveillance et détection robustes des données, des contrôles intégrés de chiffrement et de gestion des droits numériques (DRM) granulaires, des fonctionnalités avancées de prévention de la perte de données (DLP) et un contrôle d’accès basé sur les attributs (ABAC) pour l’application de politiques d’accès fines et sensibles au contexte.
Les recommandations de la NSA sur le pilier de données de confiance zéro reconnaissent l’importance du partage sécurisé des données et de la collaboration entre les agences fédérales, le DoD et les organisations DIB, et fournissent un cadre pour relever les défis associés à ces activités. Les recommandations soulignent la nécessité de contrôles d’accès granulaires, d’étiquetage et de marquage des données, et d’une surveillance continue pour garantir que les informations sensibles ne sont partagées qu’avec les parties autorisées et dans les bonnes circonstances. En mettant en œuvre les recommandations de la NSA, les organisations peuvent établir une base sécurisée pour le partage des données et la collaboration, en exploitant des technologies telles que la gestion des droits numériques (DRM) et le contrôle d’accès basé sur les attributs (ABAC) pour appliquer des politiques d’accès fines et sensibles au contexte.