L’avancée de la maturité du Zero Trust dans le pilier des données par la NSA : Un guide complet
Les agences fédérales, y compris le Département de la Défense (DoD) et la chaîne d’approvisionnement du DoD (Base industrielle de la défense, ou DIB) ne peuvent plus se contenter de modèles de sécurité basés sur le périmètre pour protéger leur actif le plus précieux : les données. Reconnaissant ce changement de paradigme, l’Agence de Sécurité Nationale américaine (NSA) a promu l’adoption d’un modèle de sécurité zero trust dans sa nouvelle Avancer la maturité du Zero Trust à travers le pilier des données. Cette orientation est principalement destinée aux réseaux du Système de Sécurité Nationale (NSS), du DoD et du DIB, mais peut également être utile aux propriétaires et opérateurs d’autres systèmes susceptibles d’être ciblés par des acteurs malveillants sophistiqués. Le modèle zero trust de la NSA part du principe que les violations sont inévitables et que les menaces existent à la fois à l’intérieur et à l’extérieur des limites traditionnelles du réseau. L’approche zero trust exige une vérification continue et des contrôles d’accès granulaires pour sécuriser les données dans cet environnement périlleux, en accord avec le zero trust défini par le contenu incarné dans le Réseau de contenu privé de Kiteworks.
Au cœur du cadre zero trust de la NSA se trouve le pilier des données, qui se concentre sur la protection des données au repos et en transit à travers une progression de sept niveaux de maturité. Ces niveaux englobent l’alignement des risques du catalogue de données, la gouvernance des données d’entreprise, l’étiquetage et le marquage des données, la surveillance et la détection des données, le chiffrement des données et la gestion des droits, DLP, et la contrôles d’accès. En progressant graduellement à travers ces étapes, les agences fédérales comme le DoD et ses entrepreneurs DIB peuvent mettre en place des mesures de protection des données de plus en plus strictes pour suivre le rythme des menaces évolutives.
Cet article explore chacun des sept niveaux de maturité des piliers de données, tels que définis dans le rapport de la NSA. Nous examinerons les concepts clés, les meilleures pratiques et les technologies qui permettent aux agences fédérales, au DoD et aux organisations DIB de protéger leurs données conformément aux principes de confiance zéro. Enfin, nous verrons comment le Réseau de contenu privé Kiteworks fournit un cadre pour une confiance zéro définie par le contenu, permettant à ces organisations d’atteindre les plus hauts niveaux de sécurité et de contrôle des données.
| Pilier des Données | Comment Kiteworks Adresse |
|---|---|
| Alignement des risques du catalogue de données | Kiteworks offre une visibilité complète sur les transactions et interactions de données, facilitant l’évaluation des risques informée et les mises à jour continues du catalogue. |
| Gouvernance des données d’entreprise | Le moteur de politique de Kiteworks automatise les flux de travail et applique les politiques de gouvernance des données à travers l’entreprise, en alignement avec les principes de Zero Trust. |
| Étiquetage et marquage des données | La plateforme s’intègre aux outils de classification des données pour appliquer de manière cohérente les étiquettes et les marques, assurant que les données sont traitées selon leur sensibilité. |
| Surveillance et détection des données | Kiteworks propose des fonctionnalités de surveillance étendues, permettant le suivi en temps réel des mouvements de données et des activités des utilisateurs, crucial pour la détection proactive des menaces. |
| Chiffrement des données et gestion des droits | Avec Kiteworks, le chiffrement des données est appliqué de manière transparente, et les contrôles DRM sont imposés pour protéger contre l’accès non autorisé et la distribution. |
| Prévention des pertes de données | Les capacités DLP de la plateforme sont conçues pour détecter et prévenir les violations potentielles, sécurisant les données contre la transmission non autorisée. |
| Contrôle d’accès aux données | Kiteworks permet des contrôles d’accès granulaires, basés sur les attributs, ajustant dynamiquement les permissions en réponse aux menaces évolutives et aux contextes utilisateurs. |
Appariements des piliers de données NSA avec les capacités de Kiteworks
Niveau de Maturité du Pilier des Données #1 : Alignement des Risques du Catalogue de Données
L’alignement des risques du catalogue de données est l’étape fondamentale dans le parcours de confiance zéro au sein du pilier des données pour les agences fédérales, le DoD et les organisations DIB. Cela implique d’identifier et d’évaluer les risques associés aux actifs de données d’une organisation, y compris l’impact potentiel des violations de données, des accès non autorisés et des pertes de données. En alignant les catalogues de données avec les niveaux de risque, ces organisations peuvent prioriser leurs efforts de protection des données et allouer efficacement les ressources.
La NSA définit quatre niveaux de maturité pour l’alignement des risques du catalogue de données et les autres niveaux : préparation, basique, intermédiaire et avancé.
Alignement des Risques du Catalogue de Données : Maturité de Préparation
Au niveau de préparation, les agences fédérales, le DoD et les organisations DIB passent en revue leur paysage de données pour identifier les risques potentiels liés à la perte de données, à la violation ou à la modification non autorisée. Cette étape implique également d’identifier la propriété des données et de cataloguer les données en fonction de leur criticité pour l’organisation.
Alignement des Risques du Catalogue de Données : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité de base, elles commencent à identifier et à inventorier manuellement leurs actifs de données critiques. Ce processus établit une ligne de base de l’état actuel et prépare le terrain pour des pratiques d’alignement des risques plus avancées.
Alignement des Risques du Catalogue de Données : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB mettent en œuvre des processus automatisés pour identifier et surveiller leur paysage de données au sein du catalogue. Ces processus garantissent que les données sont automatiquement détectées et incluses dans le catalogue, permettant une vue plus complète et à jour des actifs de données de l’organisation. De plus, des modèles d’utilisation des données sont établis, fournissant des informations précieuses sur la manière dont les données sont accédées et utilisées à travers l’organisation.
Alignement des Risques du Catalogue de Données : Maturité Avancée
Au niveau de maturité avancé, les agences fédérales, le DoD et les organisations DIB analysent en continu leurs données pour évaluer les risques. Les données sont collectées, étiquetées et protégées selon les niveaux de risque et en alignement avec un cadre de priorisation. Des outils avancés sont employés pour découvrir les données sensibles mal étiquetées et alerter ou mettre en quarantaine les données si nécessaire. Le chiffrement est également appliqué pour protéger les données conformément à leur profil de risque.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un processus robuste d’alignement des risques du catalogue de données qui constitue le fondement de leur stratégie de protection des données à confiance zéro. Cet alignement permet à ces organisations d’identifier leurs actifs de données les plus critiques, d’évaluer les risques associés à ces actifs et de mettre en œuvre des mesures de sauvegarde appropriées pour atténuer les menaces potentielles. Analyser et affiner continuellement ce processus assure que la protection des données reste une priorité absolue et que l’organisation peut s’adapter aux risques évolutifs en temps réel.
Niveau de Maturité du Pilier des Données #2 : Gouvernance des Données d’Entreprise
La gouvernance des données d’entreprise est un composant critique de la protection des données basée sur le principe de confiance zéro, assurant que les données sont gérées, accédées et sécurisées de manière cohérente à travers les agences fédérales, le DoD et les organisations DIB. Dans le contexte de la confiance zéro, la gouvernance des données implique l’établissement et l’application de politiques pour l’étiquetage des données, le marquage, le chiffrement, le contrôle d’accès et le partage. En mettant en œuvre des pratiques robustes de gouvernance des données, ces organisations peuvent maintenir la visibilité et le contrôle sur leurs actifs de données, même lorsqu’ils se déplacent au-delà des périmètres réseau traditionnels.
Gouvernance des Données d’Entreprise : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB développent des politiques d’étiquetage des données, de marquage et de contrôle d’accès applicables à l’échelle de l’entreprise et exécutoires à travers leurs systèmes. Cette étape implique également la définition des normes d’interopérabilité et de marquage des données pour assurer une application cohérente de la politique.
Gouvernance des Données d’Entreprise : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB atteignent le niveau de maturité de base, elles commencent à étiqueter et marquer leurs données conformément aux politiques d’entreprise établies. Les données sont également chiffrées en utilisant des cadres d’entreprise publiés, renforçant ainsi leur protection.
Gouvernance des Données d’Entreprise : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB évaluent et affinent leurs politiques de protection des données pour l’interopérabilité à travers les réseaux et les organisations partenaires. Cette étape implique également l’établissement de politiques de contrôle d’accès juste-à-temps et juste-suffisant, qui accordent aux utilisateurs les permissions minimales nécessaires pour effectuer leurs tâches. Les règles et contrôles d’accès sont automatisés via la gestion centrale des politiques, rationalisant l’application des pratiques de gouvernance des données.
Gouvernance des Données d’Entreprise : Maturité Avancée
Au niveau de maturité avancé, les agences fédérales, le DoD et les organisations DIB révisent régulièrement leurs politiques et mettent à jour leurs solutions pour garantir le respect continu des réglementations. Les systèmes de gestion automatisée des politiques sont pleinement intégrés, permettant des mises à jour et des adaptations fluides aux exigences commerciales changeantes et aux paysages de menaces.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de gouvernance des données d’entreprise qui sous-tend leur stratégie de protection des données basée sur le modèle de confiance zéro. Des politiques exécutoires de marquage et d’étiquetage garantissent que les données sont systématiquement classifiées et sécurisées, tandis que le chiffrement et les contrôles d’accès granulaires protègent les données contre les accès non autorisés. La gestion automatisée des politiques simplifie l’application de ces pratiques, permettant à ces organisations de maintenir une posture de sécurité forte même à mesure que leurs environnements de données se développent et évoluent.
Une gouvernance efficace des données d’entreprise est essentielle pour atteindre la visibilité et le contrôle requis par le modèle de confiance zéro. En alignant les pratiques de gouvernance des données avec les principes de confiance zéro, les agences fédérales, le DoD et les organisations DIB peuvent protéger leurs actifs de données, maintenir la conformité avec les exigences réglementaires et construire une base solide pour le partage et la collaboration sécurisés des données.
POINTS CLÉS
- La NSA recommande un modèle de sécurité Zéro Confiance :
La NSA recommande aux organisations d’adopter un modèle de sécurité Zéro Confiance pour protéger leurs données, reconnaissant que les violations sont inévitables et que les menaces existent à l’intérieur et à l’extérieur des frontières du réseau. - Le cadre Zéro Confiance de la NSA protège les données à travers sept niveaux de maturité :
Les sept niveaux de maturité du cadre de confiance zéro de la NSA incluent l’alignement des risques du catalogue de données, la gouvernance des données, l’étiquetage et le marquage des données, le contrôle d’accès aux données, et plus encore. - La visibilité et le contrôle sont les objectifs :
Un alignement efficace des risques du catalogue de données, une gouvernance, un étiquetage, une surveillance, un chiffrement, une DLP et un contrôle d’accès sont cruciaux pour atteindre la visibilité et le contrôle requis par le modèle de confiance zéro. - Kiteworks offre une sécurité de confiance zéro :
Le réseau de contenu privé Kiteworks permet aux organisations de mettre en œuvre une sécurité de confiance zéro centrée sur les données, en conformité avec le cadre de la NSA, en intégrant la sécurité au niveau du contenu. - Une mentalité de confiance zéro est essentielle pour la protection des données :
À mesure que le paysage des menaces évolue, les organisations doivent adopter une mentalité de confiance zéro et une approche de sécurité centrée sur les données, en exploitant des plateformes comme Kiteworks.
Niveau de Maturité du Pilier des Données #3 : Étiquetage et Marquage des Données
L’étiquetage et le marquage des données sont des pratiques essentielles au sein du cadre de confiance zéro, permettant aux agences fédérales, au DoD et aux organisations DIB de classer et de protéger leurs actifs de données en fonction de leur sensibilité, de leur criticité et de leur risque. En appliquant des étiquettes et des marques granulaires aux données, ces organisations peuvent appliquer des contrôles d’accès, surveiller l’utilisation des données et garantir que les données sont sécurisées conformément à leur valeur et leur sensibilité.
Dans le modèle de confiance zéro, l’étiquetage et le marquage des données constituent la base des contrôles d’accès exécutoires par machine. En associant des données à des attributs et catégories spécifiques, les agences fédérales, le DoD et les organisations DIB peuvent définir et appliquer des politiques d’accès granulaires qui régissent qui peut accéder, modifier et partager des données. Cette approche garantit que les données ne sont accessibles qu’aux utilisateurs et systèmes autorisés, réduisant le risque de violations de données et d’accès non autorisé.
Étiquetage et Marquage des Données : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB définissent leurs normes de marquage de données et configurent leurs outils pour soutenir les politiques de l’entreprise. Cette étape implique l’établissement d’une taxonomie cohérente pour la classification des données et s’assurer que les outils de marquage sont alignés avec les exigences de sécurité de l’organisation.
Étiquetage et Marquage des Données : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité basique, ils mettent en œuvre des outils de marquage et de classification des données et commencent à étiqueter et marquer manuellement leurs données. Les propriétaires de données jouent un rôle crucial à ce stade, s’assurant que les données sont étiquetées conformément aux politiques de gouvernance de l’entreprise.
Étiquetage et Marquage des Données : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB mettent en œuvre des contrôles d’accès aux données exécutoires par machine basés sur les étiquettes et les marques appliquées à leurs données. Des outils automatisés sont introduits pour répondre aux demandes d’échelle et fournir une meilleure précision, réduisant la dépendance aux processus de marquage manuel.
Étiquetage et Marquage des Données : Maturité Avancée
Au niveau de maturité avancé, le marquage et l’étiquetage des données sont entièrement automatisés pour les agences fédérales, le DoD et les organisations DIB. Une analyse continue est employée pour garantir que les données sont correctement marquées et étiquetées, avec des procédures d’automatisation qui remédient à toute incohérence ou erreur. Des techniques avancées d’apprentissage automatique peuvent être utilisées pour catégoriser et marquer intelligemment les données en fonction du contenu et du contexte.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de marquage et d’étiquetage des données qui permet une protection des données basée sur le modèle de confiance zéro. Des normes de marquage des données cohérentes garantissent que les données sont classifiées uniformément à travers l’organisation, tandis que les processus de marquage manuels et automatisés aident à échelonner l’effort de classification. Les contrôles d’accès exécutables par machine, pilotés par les étiquettes et les marques de données, fournissent des politiques de sécurité granulaires qui s’adaptent à la sensibilité et au risque associés à chaque actif de données.
Un marquage et un étiquetage efficaces des données sont cruciaux pour atteindre la visibilité et le contrôle requis par le modèle de confiance zéro. En intégrant la classification des données dans leurs pratiques de sécurité, les agences fédérales, le DoD et les organisations DIB peuvent garantir que leurs actifs de données sont protégés conformément à leur valeur et leur sensibilité, réduisant le risque de violations de données et permettant un partage et une collaboration sécurisés des données.
Niveau de Maturité du Pilier des Données #4 : Surveillance et Détection des Données
La surveillance et la détection des données sont des aspects cruciaux de la confiance zéro, fournissant aux agences fédérales, au DoD et aux organisations DIB la visibilité et les informations nécessaires pour détecter et répondre aux violations de données potentielles, aux accès non autorisés et aux activités anormales. En surveillant continuellement l’accès, l’utilisation et le mouvement des données, ces organisations peuvent identifier les comportements suspects et prendre des mesures proactives pour atténuer les risques.
Dans le modèle de confiance zéro, la surveillance et la détection des données impliquent la capture et l’analyse des métadonnées associées aux actifs de données. Ces métadonnées incluent des informations sur qui accède aux données, comment elles sont utilisées et où elles sont transmises. En corrélant ces métadonnées avec d’autres événements de sécurité et journaux, les agences fédérales, le DoD et les organisations DIB peuvent obtenir une vue complète de leur posture de sécurité des données et détecter des menaces potentielles en temps réel.
Surveillance et Détection des Données : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB identifient et capturent des métadonnées actives qui fournissent des aperçus sur l’accès aux données, le partage, la transformation et l’utilisation. Cette étape implique également de mener une analyse pour déterminer où les outils de surveillance et de journalisation doivent être déployés.
Surveillance et Détection des Données : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité de base, ils acquièrent et mettent en œuvre des solutions de surveillance de base de données sur toutes les bases de données contenant des types de données réglementées, telles que les informations classifiées non confidentielles (CUI), les informations personnelles identifiables et les informations médicales protégées (PII/PHI), et les informations médicales protégées (PHI). Les outils de surveillance des fichiers de données sont également utilisés pour surveiller les données critiques dans les applications, services et répertoires. À ce stade, les analyses des solutions de surveillance sont intégrées dans les systèmes de gestion des informations et des événements de sécurité (SIEM) avec des attributs de données de base.
Surveillance et Détection des Données : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB étendent leurs capacités de surveillance pour couvrir toutes les données réglementées protégées dans les applications, services et dépôts. Des techniques d’intégration avancées sont utilisées pour alimenter les données de surveillance dans la prévention des pertes de données (DLP), la gestion des droits numériques (GDN) et les solutions d’analyse du comportement des utilisateurs et des entités (UEBA). Les données hors du champ d’application du DLP et du GDN, telles que les partages de fichiers et les bases de données, sont activement surveillées pour détecter les activités anormales et malveillantes à l’aide d’outils alternatifs.
Surveillance et Détection des Données : Maturité Avancée
Au niveau de maturité avancé, les journaux et les analyses de toutes les solutions de surveillance des données sont intégrés dans le SIEM pour une surveillance et une réponse globales. Les analyses sont également intégrées dans des activités transversales pour informer la prise de décision et l’évaluation des risques. Des attributs de données supplémentaires sont incorporés dans les solutions de surveillance pour soutenir des fonctionnalités avancées de confiance zéro, telles que les contrôles d’accès adaptatifs au risque et la réponse automatique aux menaces.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de surveillance et de détection des données qui permet une protection des données basée sur la confiance zéro. Identifier et capturer les métadonnées pertinentes, déployer des outils de surveillance des bases de données et des fichiers, et intégrer des analyses dans le SIEM et d’autres solutions de sécurité fournissent à ces organisations la visibilité et les insights nécessaires pour détecter et répondre en temps réel aux menaces liées aux données. À mesure que les organisations renforcent leurs capacités de surveillance des données, elles peuvent adopter une approche plus globale et proactive de la sécurité des données, garantissant que leurs actifs sensibles sont protégés contre les menaces évolutives.
Niveau de Maturité du Pilier des Données #5 : Chiffrement des Données et Gestion des Droits
Le chiffrement des données et la gestion des droits numériques (DRM) sont des composants essentiels d’une stratégie de protection des données basée sur le modèle de confiance zéro, garantissant que les informations sensibles restent sécurisées même en cas de fuite. Le chiffrement protège les données en les codant dans un format illisible, tandis que les technologies de DRM contrôlent l’accès et l’utilisation des données, empêchant le partage, l’impression ou la modification non autorisés.
Dans le modèle de confiance zéro, le chiffrement des données et les DRM sont appliqués en fonction de la sensibilité et du risque associés à chaque actif de données. En chiffrant les données au repos et en transit, et en appliquant des contrôles d’accès granulaires à travers les DRM, les agences fédérales, le DoD et les organisations DIB peuvent garantir que leurs informations sensibles sont protégées tout au long de leur cycle de vie, indépendamment de leur emplacement ou de la manière dont elles sont accédées.
Chiffrement des Données et Gestion des Droits : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB établissent une stratégie pour le chiffrement des données au repos et en transit, suivant les normes et exigences de l’entreprise. Cette étape implique l’identification des types de données nécessitant un chiffrement et la sélection des algorithmes de chiffrement et des solutions de gestion des clés appropriés.
Chiffrement des Données et Gestion des Droits : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité de base, elles identifient les lacunes en matière de chiffrement et mettent en œuvre des dispositifs gérés par l’entreprise et une gestion centralisée des clés. Des outils de chiffrement sont acquis pour soutenir la stratégie de chiffrement des données au repos et en transit de l’organisation. Les premières mises en œuvre de DRM sont également introduites à ce stade, se concentrant sur la protection des données critiques dans des dépôts à haut risque.
Chiffrement des Données et Gestion des Droits : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB développent leurs capacités de chiffrement et de GDN pour couvrir toutes les données sensibles à travers l’entreprise. Les clés de chiffrement sont gérées automatiquement, et toutes les données sont chiffrées dans l’ensemble de l’environnement. La GDN est étendue à tous les dépôts de données concernés, garantissant que les informations sensibles sont protégées avec des contrôles d’accès granulaires.
Chiffrement des Données et Gestion des Droits : Maturité Avancée
Au niveau de maturité avancé, les balises de données sont intégrées avec la GDN pour les agences fédérales, le DoD et les organisations DIB, permettant un chiffrement automatique et un contrôle d’accès basé sur la classification des données. Des balises supplémentaires sont créées pour protéger les dépôts de données étendus, et les solutions de GDN sont améliorées pour suivre et protéger les données tout au long de leur cycle de vie. Des modèles d’apprentissage automatique sont également utilisés pour détecter l’utilisation anormale des données et alerter les équipes de sécurité des menaces potentielles.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de chiffrement des données et de gestion des droits qui permet une protection des données en zéro confiance. La mise en œuvre de stratégies de chiffrement complètes, la gestion centralisée des clés et des contrôles de GDN granulaires garantissent que les données sensibles restent sécurisées, même si elles sont accédées par des parties non autorisées. L’intégration de balises de données et de technologies d’apprentissage automatique améliore davantage l’automatisation et l’efficacité de ces contrôles, permettant à ces organisations de s’adapter aux menaces évolutives et de maintenir une forte posture de sécurité.
Niveau de Maturité du Pilier des Données #6 : Prévention de la Perte de Données
La prévention des pertes de données (DLP) est un composant critique d’une stratégie de protection des données en zéro confiance, conçue pour empêcher que les informations sensibles soient accidentellement ou malicieusement exfiltrées des agences fédérales, du DoD et des organisations DIB. Les solutions DLP surveillent, détectent et bloquent la transmission non autorisée de données sensibles, que ce soit à travers email, formulaires Web, partage de fichiers, transfert sécurisé de fichiers, ou d’autres canaux.
Dans le modèle de confiance zéro, la DLP joue un rôle crucial pour garantir que les données sensibles restent sous le contrôle des agences fédérales, du DoD et des organisations DIB, même lorsque les utilisateurs et les dispositifs accèdent aux informations depuis divers emplacements et plateformes. En appliquant des politiques granulaires basées sur la classification des données, les rôles des utilisateurs et les attributs des dispositifs, les solutions DLP peuvent prévenir les violations de données et maintenir la confidentialité des actifs sensibles.
Prévention des Pertes de Données : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB définissent leurs besoins en matière de DLP et identifient les points d’application où les solutions DLP seront déployées. Cette étape implique également l’établissement de techniques pour identifier les données sensibles, telles que les mots-clés, les expressions régulières et les algorithmes d’apprentissage automatique.
Prévention des Pertes de Données : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité de base, elles déploient des solutions DLP aux points d’application identifiés et les configurent en mode de surveillance ou d’apprentissage. Cette approche permet à ces organisations de valider leurs politiques DLP et de minimiser les faux positifs avant d’appliquer le blocage des données. Les résultats des solutions DLP sont analysés et les politiques sont affinées pour gérer le risque à un niveau acceptable.
Prévention des Pertes de Données : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB font évoluer leurs solutions de DLP du mode de surveillance à la prévention active, bloquant la transmission non autorisée de données sensibles. Des étiquettes de données de base sont intégrées à la solution DLP, permettant une application plus granulaire des politiques basée sur la classification des données. Un schéma de journalisation est également mis en place pour suivre les événements DLP et soutenir la réponse aux incidents.
Prévention des Pertes de Données : Maturité Avancée
Au niveau de maturité avancé, les solutions DLP sont pleinement intégrées avec des capacités de marquage automatique des données pour les agences fédérales, le DoD et les organisations DIB. À mesure que les données sont étiquetées et classifiées en fonction de leur sensibilité et de leur risque, les politiques DLP sont automatiquement mises à jour pour appliquer les contrôles appropriés. Le champ de surveillance DLP est étendu pour couvrir une plus large gamme de dépôts de données et de canaux de transmission. La surveillance automatique des données identifie également les lacunes dans la couverture DLP, incitant au déploiement de points d’application supplémentaires.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de DLP qui soutient la protection des données en zéro confiance. Identifier les données sensibles, déployer des solutions DLP aux points d’application clés et ajuster les politiques en fonction du risque et de la classification des données aident à prévenir l’exfiltration non autorisée de données. L’intégration de DLP avec des capacités de marquage automatique des données améliore encore la précision et l’efficacité des contrôles de protection des données, garantissant que les informations sensibles restent sécurisées tout au long de leur cycle de vie.
Niveau de Maturité du Pilier des Données #7 : Contrôle d’Accès aux Données
Le contrôle d’accès aux données est la pierre angulaire de la protection des données à confiance zéro pour les agences fédérales, le DoD et les organisations DIB, assurant que seuls les utilisateurs et les dispositifs autorisés peuvent accéder aux informations sensibles sur la base de politiques granulaires et d’une évaluation des risques en temps réel. En appliquant l’accès à privilège minimum et en validant continuellement les attributs des utilisateurs et des dispositifs, le contrôle d’accès aux données empêche l’accès non autorisé et minimise l’impact potentiel des violations.
Dans le modèle de confiance zéro, le contrôle d’accès aux données est l’objectif ultime, rassemblant toutes les autres capacités de protection des données pour appliquer des politiques d’accès fines et sensibles au contexte. En tirant parti de la classification des données, des rôles des utilisateurs, des attributs des dispositifs et des facteurs environnementaux, le contrôle d’accès aux données assure que les informations sensibles ne sont accessibles que dans les bonnes circonstances, par les bonnes personnes et pour les bonnes raisons au sein des agences fédérales, du DoD et des organisations DIB.
Contrôle d’Accès aux Données : Maturité de Préparation
Au niveau de la préparation, les agences fédérales, le DoD et les organisations DIB développent des politiques de contrôle d’accès avec des solutions de gestion centrale à l’échelle de l’entreprise en tête. Cette étape implique de définir les attributs et les conditions qui régiront l’accès aux données, tels que les rôles des utilisateurs, la santé des dispositifs et l’emplacement réseau.
Contrôle d’Accès aux Données : Maturité Basique
À mesure que les agences fédérales, le DoD et les organisations DIB progressent vers le niveau de maturité de base, elles mettent en œuvre des solutions de gestion centrale, telles que le stockage défini par logiciel (SDS) et la gestion des identités et des accès (IAM). Ces solutions sont intégrées aux politiques existantes et aux technologies de protection des données, telles que le chiffrement et la GDN, pour appliquer les contrôles d’accès à travers l’entreprise.
Contrôle d’Accès aux Données : Maturité Intermédiaire
Au niveau intermédiaire, les agences fédérales, le DoD et les organisations DIB mettent en œuvre un contrôle d’accès basé sur les attributs (ABAC), qui accorde ou refuse l’accès en fonction des attributs des utilisateurs, des dispositifs et des données elles-mêmes. Les politiques ABAC sont définies et appliquées, garantissant que les décisions d’accès sont prises en fonction du contexte complet de chaque demande. Le contrôle d’accès basé sur les rôles (RBAC) est également mis en œuvre, limitant l’accès en fonction des rôles et des responsabilités des utilisateurs.
Contrôle d’Accès aux Données : Maturité Avancée
Au niveau de maturité avancé, les agences fédérales, le DoD et les organisations DIB intègrent pleinement leurs solutions de contrôle d’accès avec des outils automatisés de gestion des politiques et de prise de décision. Les politiques d’accès sont mises à jour dynamiquement en fonction des évaluations des risques en temps réel, des analyses comportementales des utilisateurs et des flux de renseignements sur les menaces. Des contrôles d’accès à granularité fine sont appliqués sur tous les dépôts de données, applications et services, garantissant que les informations sensibles ne sont accessibles que dans les bonnes circonstances.
En progressant à travers ces niveaux de maturité, les agences fédérales, le DoD et les organisations DIB peuvent établir un cadre robuste de contrôle d’accès aux données qui soutient la protection des données basée sur le principe de moindre privilège. Définir des politiques d’accès granulaires, mettre en œuvre l’ABAC et le RBAC, et s’intégrer avec des outils automatisés de gestion des politiques permet à ces organisations de maintenir un contrôle strict sur les données sensibles. Au fur et à mesure que les capacités de contrôle d’accès mûrissent, les agences fédérales, le DoD, et les organisations DIB peuvent s’adapter aux risques et comportements des utilisateurs changeants, garantissant que les données restent sécurisées face à des menaces en évolution.
Comment Kiteworks Permet la Protection des Données selon le Principe de Confiance Zéro
Kiteworks est un fournisseur leader de protection des données à confiance zéro, offrant une plateforme complète pour sécuriser le contenu sensible tout au long de son cycle de vie. Le Réseau de contenu privé Kiteworks est conçu pour s’aligner sur les principes de confiance zéro, fournissant des contrôles d’accès granulaires, une évaluation continue des risques et des politiques de sécurité adaptatives pour protéger les données dans les environnements distribués complexes d’aujourd’hui.
Au cœur de la plateforme Kiteworks se trouve le concept de confiance zéro définie par le contenu, qui étend le modèle de confiance zéro au niveau des données. En intégrant directement les politiques de sécurité et les contrôles d’accès dans le contenu lui-même, Kiteworks assure que les données restent protégées, peu importe où elles vont, que ce soit à l’intérieur ou à l’extérieur du périmètre de l’organisation.
Kiteworks permet et facilite chacun des sept niveaux de maturité des piliers de données décrits dans le cadre de confiance zéro de la NSA, ce qui en fait une solution idéale pour les agences fédérales, le DoD et les organisations DIB cherchant à mettre en œuvre un cadre de confiance zéro mature et robuste :
Pour l’alignement des risques du catalogue de données, Kiteworks fournit des outils pour découvrir, classer et étiqueter le contenu sensible, permettant aux agences fédérales, au DoD et aux organisations DIB d’identifier et de prioriser leurs actifs de données les plus critiques.
La plateforme soutient également la gouvernance des données d’entreprise en appliquant des politiques d’accès granulaires et en garantissant que les données sont gérées conformément aux exigences réglementaires et aux normes industrielles.
Pour l’étiquetage et le marquage des données, Kiteworks propose des capacités de classification automatique capables d’identifier le contenu sensible à partir de mots-clés, de modèles et d’algorithmes d’apprentissage automatique. Ces étiquettes et marques sont ensuite utilisées pour appliquer des contrôles d’accès granulaires et des politiques de protection des données, garantissant que les informations sensibles ne sont accessibles qu’aux utilisateurs et appareils autorisés au sein des agences fédérales, du DoD et des organisations DIB.
Kiteworks offre également des capacités robustes de surveillance et de détection des données, permettant à ces organisations de suivre en temps réel l’accès, l’utilisation et le partage des données. La plateforme s’intègre aux outils de SIEM et d’analyse de données leaders du marché, offrant une vue complète de la sécurité des données et permettant une détection et une réponse rapides aux menaces potentielles.
Pour le chiffrement des données et la gestion des droits, Kiteworks propose un chiffrement intégré pour les données au repos et en transit, ainsi que des contrôles granulaires de gestion des droits numériques (DRM). Ces capacités garantissent que le contenu sensible reste protégé même s’il est accédé par des parties non autorisées, et que l’accès peut être révoqué ou modifié en temps réel en fonction des facteurs de risque changeants.
Kiteworks fournit également des capacités avancées de prévention des pertes de données (DLP), permettant aux agences fédérales, au DoD et aux organisations DIB de surveiller et de bloquer l’exfiltration non autorisée de données sensibles. Le moteur DLP de la plateforme peut identifier le contenu sensible basé sur des politiques prédéfinies et des étiquettes de données, et peut automatiquement appliquer des actions protectrices telles que le blocage, la mise en quarantaine ou le chiffrement des données.
Pour le contrôle d’accès aux données, Kiteworks offre une gamme d’options d’authentification et d’autorisation, y compris l’authentification multifactorielle (MFA), single sign-on (SSO) et le contrôle d’accès basé sur les attributs (ABAC). Ces fonctions permettent aux agences fédérales, au DoD et aux organisations DIB d’appliquer des politiques d’accès granulaires et sensibles au contexte basées sur les rôles des utilisateurs, les attributs des dispositifs et les facteurs environnementaux, assurant que les données sensibles ne sont accessibles que dans les bonnes circonstances.
En fournissant une approche globale et définie par le contenu pour la protection des données sans confiance, Kiteworks permet aux agences fédérales, au DoD et aux organisations DIB d’atteindre les plus hauts niveaux de sécurité des données et de conformité. Les capacités avancées de la plateforme, son intégration avec les outils de sécurité existants et les contrôles d’accès granulaires en font une solution idéale pour ces organisations cherchant à mettre en œuvre un cadre de confiance zéro mature et robuste qui s’aligne sur les directives de la NSA.
Élever la Sécurité des Données Avec Kiteworks
Protéger les données sensibles est plus difficile et crucial que jamais pour les agences fédérales, le DoD et les organisations DIB. Le modèle de maturité du pilier des données de la NSA fournit un cadre complet pour ces organisations afin de sécuriser leurs actifs de données, de l’évaluation initiale des risques et de la classification à des contrôles d’accès granulaires et une surveillance continue.
| Préparation | Basique | Intermédiaire | Avancé | |
|---|---|---|---|---|
| Alignement du risque du catalogue de données | Reconnaissance de la nécessité du catalogue de données, affectation de l’équipe et définition du périmètre. | Identification et documentation des actifs de données, établissant une base de référence pour l’évaluation des risques. | Analyse détaillée des risques et association des actifs de données au contexte commercial. | Catalogue de données dynamique avec analyse des risques en temps réel et outils automatisés. |
| Gouvernance des Données d’Entreprise | Mise en place d’un comité de gouvernance et d’un cadre de gouvernance initial. | Mise en œuvre des politiques fondamentales de gouvernance des données. | Raffinement et application cohérente des politiques de gouvernance des données. | Cadre de gouvernance dynamique et adaptatif intégré avec l’architecture Zero Trust. |
| Étiquetage et Marquage des Données | Développement des normes initiales d’étiquetage et de marquage des données. | Application des politiques manuelles standardisées de marquage et d’étiquetage simple. | Introduction d’outils d’étiquetage automatiques. | Étiquetage et marquage entièrement automatisés avec l’apprentissage automatique. |
| Surveillance et Détection des Données | Définition des besoins de surveillance et mise en place des outils de base de surveillance. | Déploiement de stratégies plus définies pour le suivi des données et l’alerte. | Intégration avec les outils SIEM pour une détection proactive des menaces. | Surveillance complète avec analyses en temps réel et technologies de détection avancées. |
| Chiffrement des Données et Gestion des Droits | Chiffrement des données particulièrement sensibles et gestion de clés de base. | Standardisation du chiffrement et introduction des solutions de GDN. | Systèmes de gestion de clés plus sophistiqués et politiques de GDN nuancées. | Chiffrement dynamique et GDN intégrée avec données en temps réel et apprentissage automatique. |
| Prévention des Pertes de Données | Identification des données sensibles et développement des premières politiques de DLP. | Déploiement de solutions DLP pour les scénarios évidents de perte de données. | Raffinement des systèmes DLP avec des stratégies avancées. | Systèmes DLP dynamiques effectuant des ajustements de politique en temps réel. |
| Contrôle d’Accès aux Données | Définition des rôles et exigences pour l’accès aux données. | Mise en œuvre de politiques de contrôle d’accès basées sur les rôles. | Introduction d’outils d’étiquetage automatisés. | Étiquetage et marquage entièrement automatisés avec l’apprentissage automatique. |
Niveaux de maturité et définitions du pilier des données de la NSA
En progressant à travers les sept niveaux de maturité—alignement des risques du catalogue de données, gouvernance des données d’entreprise, étiquetage et marquage des données, surveillance et détection des données, chiffrement des données et gestion des droits, prévention de la perte de données et contrôle d’accès aux données—les agences fédérales, le DoD et les organisations DIB peuvent améliorer progressivement leur posture de sécurité des données et suivre le rythme des menaces évolutives.
Au cœur du modèle de confiance zéro se trouve le concept de sécurité centrée sur les données, qui souligne la nécessité de protéger les données tout au long de leur cycle de vie, indépendamment de leur emplacement ou de la manière dont elles sont accédées. En mettant en œuvre une approche de confiance zéro définie par le contenu, les agences fédérales, le DoD et les organisations DIB peuvent s’assurer que leurs données sensibles restent sécurisées même face à des menaces sophistiquées et persistantes.
Kiteworks fournit une plateforme puissante et complète pour atteindre une protection des données de confiance zéro, permettant aux agences fédérales, au DoD et aux organisations DIB d’appliquer des contrôles d’accès granulaires, de surveiller l’utilisation des données en temps réel et de prévenir l’exfiltration non autorisée. En s’alignant sur le cadre de confiance zéro de la NSA pour les piliers de données et en fournissant des capacités avancées à travers les sept niveaux de maturité des piliers de données, Kiteworks habilite ces organisations à protéger leurs actifs les plus critiques et à maintenir les plus hauts niveaux de sécurité et de conformité.
Alors que le paysage des menaces continue d’évoluer, il est impératif que les agences fédérales, le DoD et les organisations DIB adoptent une mentalité de confiance zéro et mettent en œuvre des stratégies de sécurité robustes et centrées sur les données. En tirant parti de plateformes comme Kiteworks et en suivant le modèle de maturité des piliers de données de confiance zéro de la NSA, ces organisations peuvent construire une base solide pour protéger leurs données sensibles et assurer la continuité de leurs opérations critiques pour la mission. Les orientations fournies par la NSA sont compatibles avec les directives de confiance zéro du DoD, faisant de Kiteworks un choix idéal pour les organisations cherchant à s’aligner sur les deux cadres et à améliorer leur posture globale de sécurité des données.
FAQ sur la gestion des risques de cybersécurité
Le Zero Trust est un modèle de cybersécurité exhaustif qui élimine la confiance implicite dans tout élément, nœud ou service à l’intérieur ou à l’extérieur des frontières traditionnelles du réseau. Il exige une vérification continue de toutes les activités opérationnelles via des informations en temps réel pour déterminer l’accès et les réponses du système. Cette approche est cruciale pour la sécurisation des données car elle aborde les limites des défenses basées sur le périmètre traditionnel, qui se sont révélées insuffisantes face aux cyberattaques sophistiquées. En imposant des contrôles d’accès granulaires et un suivi continu, le zero trust aide à prévenir l’accès non autorisé et à réduire les impacts des violations potentielles, ce qui le rend indispensable pour les agences fédérales, le DoD et les organisations DIB.
La messagerie sécurisée et les services de messagerie sécurisée utilisent généralement le chiffrement, l’authentification et des mesures de contrôle d’accès. Le chiffrement rend difficile pour les hackers d’accéder à la communication en cryptant les messages et en les rendant illisibles pour les parties non autorisées. L’authentification vérifie l’identité de l’expéditeur du message et le contrôle d’accès limite qui peut voir le message.
Vous pouvez garantir la sécurité de vos e-mails en utilisant un service de messagerie sécurisé. Cela chiffrera vos messages et les protégera contre l’interception par des tiers non autorisés. De plus, pour une sécurité accrue, vous pouvez utiliser une authentification à deux facteurs.
Utiliser un service de messagerie sécurisé vous permet de garder votre communication par e-mail privée et confidentielle. Cela vous aide également à respecter les réglementations sur la confidentialité des données telles que la HIPAA et le RGPD.
Vous pouvez vérifier si la messagerie sécurisée a été correctement mise en œuvre en confirmant si le programme d’e-mail que vous utilisez est conforme aux meilleures pratiques et standards de l’industrie de la sécurité, tels que les protocoles S/MIME ou PGP.
Kiteworks permet aux utilisateurs de créer des e-mails sécurisés en appliquant des protocoles de chiffrement sécurisés sur les contenus avant leur envoi. Les utilisateurs peuvent également sécuriser les e-mails envoyés via Kiteworks en définissant des règles d’expiration et en contrôlant qui peut accéder aux e-mails. De plus, les e-mails envoyés par Kiteworks sont automatiquement scannés pour détecter les contenus malveillants, afin de s’assurer que seuls des e-mails sécurisés sont envoyés.
Additional Resources
- Résumé Kiteworks Transfert sécurisé de fichiers géré
- Résumé Exploiter l’évolution de l’IA et combattre les fuites de données
- Résumé Accès unifié et sécurisé à vos dépôts de contenu
- Résumé Forcepoint DLP et Kiteworks PCN s’unissent pour une sécurité complète
- Guide Donner aux entreprises les moyens de bénéficier d’intégrations sur mesure et sécurisées