Le bureau du portefeuille du DOD utilise Zero Trust pour combler les lacunes de la stratégie de cybersécurité

Le département de la Défense (DOD) adopte une approche progressive de la confiance zéro avec son bureau de gestion de portefeuille, que le DOD OCIO a créé en janvier. Le département prévoit de publier une copie de cette stratégie avec des résultats mesurables dans les deux prochains mois, selon Randy Resnick, conseiller principal du Zero Trust Portfolio Management Office au DOD CIO/Cybersecurity.

Le DOD a créé le bureau après avoir observé plusieurs opportunités dans sa stratégie de cybersécurité.

Resnick a déclaré que de l’argent et des ressources avaient été consacrés à la cybersécurité pendant des années, mais que des attaques de ransomwares continuaient de se produire. Après avoir expérimenté la confiance zéro, le bureau du CIO du DOD a découvert non seulement qu’il pouvait considérablement ralentir les cyberincidents, mais qu’il aurait également pu les arrêter tous ensemble.

Lors de l’événement FedInsiders Action Steps to Zero Trust, Resnick a expliqué comment le bureau du portefeuille synchronisera et rassemblera tous les efforts cybernétiques du DOD dans un seul nombril cohérent pour que le CIO du DOD donne un sens à ce qui se passait avec une confiance zéro dans tout le département.

Le bureau gardera tout le monde synchronisé, il n’allait donc pas avoir ce problème de non-interopérabilité et d’implémentations non standard de zéro confiance pour prioriser et aligner tous les efforts en zéro confiance, a déclaré Resnick. Nous allions le faire au niveau de l’entreprise. Nous croyons que l’approche d’entreprise à la confiance zéro est la réponse pour le DOD plutôt que de le faire projet par projet.

Resnick a décrit la confiance zéro comme un cadre de cybersécurité et une stratégie, ce n’est pas quelque chose que vous pouvez acheter. La mise en œuvre de la confiance zéro signifie la création d’un inventaire des utilisateurs de qui et de ce qui est autorisé sur le réseau.

Chaque utilisateur et chaque appareil doit passer par deux tests. Ils doivent être autorisés à accéder au réseau et doivent être authentifiés pour accéder au réseau, les deux doivent se produire. Si l’un ou l’autre ne se produit pas ou échoue, ils ne sont pas autorisés sur le réseau, a déclaré Resnick.

Resnick a également discuté de la différence entre le besoin de savoir et le droit de savoir lorsqu’on tente d’accéder aux données.

Parce que le simple besoin de savoir ne signifie pas que vous avez le droit de savoir. Vous pouvez avoir besoin de savoir pour accéder à un dossier, mais vous n’avez peut-être pas le droit de savoir pour accéder à un fichier spécifique dans ce dossier, donc si vous demandez l’accès à un fichier, les deux doivent se produire, a déclaré Resnick.

La confiance zéro nécessite une liste de vérifications, d’équilibres et de tests tout au long du processus avant d’accorder l’accès aux données.

Une fois que vous avez déconnecté votre session et que vous revenez cinq minutes plus tard, tout le processus recommence depuis le début. Il n’y a aucune présomption que vous êtes bon pour la journée, vous n’êtes bon que pour la session, a déclaré Resnick. La confiance zéro teste vraiment les droits d’accès aux données, en s’assurant que les données sont protégées contre les utilisateurs qui ne sont censés avoir aucun droit ou accès à ces données.

Resnick a également discuté de la question de savoir si l’authentification multifacteur (MFA) sera un bon composant pour la confiance zéro à l’avenir.

L’un des problèmes avec MFA est qu’il ne s’adresse qu’à l’utilisateur et ignore complètement la sécurité de l’appareil. La sécurité des appareils, telle que les vérifications logicielles et les mises à jour de correctifs, est essentielle à une stratégie de cybersécurité robuste.

L’appareil doit être vérifié pour le matériel, le micrologiciel et le logiciel pour s’assurer que rien n’a été modifié ou changé, a déclaré Resnick. L’appareil doit être enregistré dans le système pour savoir qu’il peut accéder au système en premier lieu, sinon vous n’êtes pas autorisé du tout. C’est vraiment MFA connecté au grand « oui » pour l’appareil qui vous permettra d’accéder au système. Je suis un grand partisan de la MFA, mais elle doit s’accompagner d’autre chose, sinon vous ne complétez pas vraiment le tableau ici.

Le DOD travaille sur un plan majeur qui répartit les efforts sur le spectre de la confiance zéro. Resnick souhaite que l’agence décompose les sept piliers de la confiance zéro en activités exploitables basées sur les résultats.

Nous avons regroupé chaque pilier en trois morceaux. Nous avons lancé le morceau un dans l’exercice 2023, nous avons mis le morceau deux dans l’exercice 2024 et mis le morceau trois dans l’exercice 2025, et nous avons estimé que c’était un effort faisable et réalisable, a déclaré Resnick. Donc, nous pensons avoir déchiffré le code sur la façon de traverser la confiance zéro avec des résultats mesurables. Il répond à la question de savoir par où commencer? Personne n’a été en mesure de répondre à cette question, et nous croyons que nous avons fait de grands progrès en essayant de répondre à cette question.

Une copie de ce processus étape par étape, qui mesure également les résultats souhaités, sera publiée dans environ six à huit semaines, a-t-il ajouté.

Je pense que rester dans le système actuel que nous avons aujourd’hui permet au réseau de rester dans un état vulnérable, et plus nous passons rapidement à la confiance zéro, il devient moins vulnérable, a déclaré Resnick.