Qu’est-ce que la CISA ?
La Cybersecurity and Infrastructure Security Agency (CISA) est une composante du Département de la Sécurité intérieure des États-Unis (DHS) chargée de la cyber-sécurité et de la protection des infrastructures à tous les niveaux du gouvernement, de la coordination des programmes de cyber-sécurité avec les États américains et de l’amélioration des protections du gouvernement en matière de cyber-sécurité contre les pirates informatiques privés et étatiques.
La CISA est chargée de contribuer à la protection des infrastructures critiques et des rassemblements publics du pays en renforçant la capacité des parties prenantes à atténuer les risques. Pour y parvenir, la CISA mène une action collaborative visant à garantir la sécurité, la résilience et la fiabilité des systèmes cybernétiques du pays. La CISA pilote les efforts nationaux grâce à la collaboration avec des partenaires du secteur privé, du milieu universitaire et du gouvernement afin de constituer une main-d’œuvre diversifiée dans le domaine de la cyber-sécurité, de favoriser le développement et l’utilisation de technologies sécurisées et de promouvoir les meilleures pratiques.
Qu’est-ce que le Zero Trust ?
Selon la définition du National Institute of Standards and Technology (NIST) 800-207, « Zero Trust est le terme désignant un ensemble évolutif de paradigmes de cyber-sécurité qui fait passer les défenses des périmètres statiques basés sur le réseau à un accent sur les utilisateurs, les actifs et les ressources. »
Afin d’établir des directives Zero Trust, le NIST et la Cybersecurity and Infrastructure Security Agency (CISA) ont examiné comment les réseaux fédéraux étaient protégés et comment les données et les actifs au sein de ces réseaux étaient protégés dans l’ensemble du secteur.
Le NIST et la CISA ont conclu que la plupart des entreprises dépendent fortement de leurs défenses basées sur des périmètres, telles que les pare-feux et les VPN, afin de contrôler l’accès initial aux réseaux. Cependant, une fois que les utilisateurs avaient accès au réseau, leurs activités n’étaient ni bien surveillées ni bien suivies. Les mesures de sécurité périmétriques traditionnelles considèrent généralement tous les utilisateurs comme dignes de confiance une fois à l’intérieur d’un réseau, y compris les acteurs malveillants et les initiés malveillants. Le modèle Zero Trust aide les entreprises à prévenir les violations de données et à protéger leurs actifs en partant du principe qu’aucune entité, à l’intérieur comme à l’extérieur du réseau, n’est digne de confiance. Le modèle Zero Trust reconnaît qu’en matière de sécurité, la confiance est une vulnérabilité.
Qu’est-ce que le modèle de maturité Zero Trust 2.0 de la CISA ?
Le modèle de maturité Zero Trust (ZTMM) de la CISA fournit une approche pour mener à bien les efforts de modernisation continus liés au Zero Trust dans un environnement et un paysage technologique en évolution rapide. Ce ZTMM est l’une des nombreuses voies qu’une entreprise peut emprunter pour concevoir et mettre en œuvre son plan de transition vers des architectures Zero Trust conformément au décret exécutif (EO) 14028 « Améliorer la cyber-sécurité nationale » (3)(b)(ii),1 qui exige que les agences élaborent un plan pour mettre en œuvre une architecture Zero Trust (ZTA). Bien que le ZTMM soit adapté aux agences fédérales comme l’exige le décret exécutif 14028, toutes les entreprises devraient examiner et envisager l’adoption des approches décrites dans ce document.
Quels sont les piliers du modèle de maturité Zero Trust 2.0 de la CISA ?
Le modèle de maturité Zero Trust de la CISA repose sur cinq piliers fondamentaux : identité, appareils, réseaux, applications et charges de travail et données. Chaque pilier contient des exigences qui correspondent à des niveaux de maturité (traditionnel, initial, avancé, optimal).
- Identité : se concentre sur la vérification et l’authentification des utilisateurs et de leurs appareils associés.
- Appareils : garantit que les appareils sont sécurisés et correctement gérés, quel que soit leur propriétaire.
- Réseaux : met l’accent sur la gestion du trafic réseau interne et externe plutôt que de s’appuyer uniquement sur les périmètres.
- Applications et charges de travail : met en œuvre des contrôles d’accès granulaires et des politiques de protection pour les applications sur site et dans le cloud.
- Données : surveille et chiffre les données en continu, quel que soit leur état.
Le CISA ZTMM prend également en charge trois capacités transversales :
- Visibilité et analyses : fournit des informations sur le trafic réseau et la posture de sécurité.
- Automatisation et orchestration : simplifie les tâches et automatise les processus de sécurité.
- Gouvernance : établit les politiques et les normes de gestion de la sécurité.
Quelles entreprises peuvent utiliser le CISA ZTMM 2.0 ?
Le NIST ZTMM 2.0 a été développé comme guide pour aider les agences gouvernementales américaines à maintenir et à améliorer la cyber-sécurité dans le cadre de la transformation numérique de leurs processus et systèmes. Cependant, sa flexibilité s’est avérée suffisante pour permettre son adoption volontaire par de grandes et petites entreprises et organisations de tous les secteurs d’activité.
Quelles sont les sanctions en cas de non-conformité au CISA ZTMM 2.0 ?
L’adhésion au CISA ZTMM est volontaire. Toutefois, la preuve qu’une entreprise suit les meilleures pratiques du cadre NIST peut constituer une protection supplémentaire contre les amendes et les sanctions en cas de violation de données, démontrant ainsi les efforts de bonne foi déployés par l’entreprise en matière de sécurité de l’information.
Comment Thales contribue-t-il à la conformité au CISA ZTMM 2.0 ?
Les solutions de Thales peuvent aider les entreprises à se conformer aux exigences du modèle de maturité Zero Trust 2.0 de la CISA en simplifiant la conformité et en automatisant la sécurité, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.