Le DOD lance une nouvelle initiative ATO continue pour la cybersécurité « active »

Le ministère de la Défense a lancé une nouvelle initiative de cybersécurité qui permettra une surveillance continue des systèmes cloud, a annoncé l’agence cette semaine dans le cadre d’un passage à l’échelle du département des pratiques de cybersécurité passives aux pratiques actives.

L’initiative appelle à une autorisation continue d’exploitation (cATO), que le DOD présente comme une amélioration de son cadre de gestion des risques (RMF), qui reposait auparavant sur des approbations uniques d’ATO sur des systèmes ou des technologies.

L’autorisation continue d’opérer permet au DOD de s’engager dans une surveillance en temps réel du cyber-risque. Un cATO n’expire pas tant que la posture de risque en temps réel requise est maintenue, selon une note du DOD signée par le DOD CISO David McKeown.

Jason Weiss, directeur des logiciels du DOD, a déclaré à GovCIO Media & Research dans un e-mail que le mémo cATO avait l’intention de « s’appuyer » sur les initiatives DevSecOps actuelles dans toute l’agence.

« Le mémo représente un effort concerté pour élever la barre au-delà de ce qu’exige une autorisation d’exploitation (ATO) orientée document papier existante », a déclaré Weiss. « Différents services ont créé différentes normes et une compréhension de ce qu’il faut pour atteindre ce niveau de maturité. . Ce mémo est la première étape pour résoudre ce problème en énonçant les ingrédients très spécifiques qui doivent être présents, et il montre que tous les systèmes ne peuvent ou ne doivent pas se qualifier pour un cATO. »

L’initiative intervient alors que la cybersécurité fédérale continue d’être un point majeur de réforme pour les agences fédérales sous l’administration Biden et fait suite à un décret exécutif de mai 2021 qui appelle les agences fédérales à commencer immédiatement le déploiement d’architectures de confiance zéro. En décembre 2021, le DOD a également créé un nouveau bureau Zero Trust au sein du Bureau du CIO pour diriger le déploiement Zero Trust.

L’analyse des données en temps réel ou quasi réel pour signaler les événements de sécurité est essentielle pour atteindre le niveau de cybersécurité requis pour lutter contre les cybermenaces d’aujourd’hui et opérer dans des espaces contestés, selon le mémo.

La note de service indique que les autorités chargées de l’autorisation doivent atteindre trois paramètres pour atteindre le cATO :

  • Visibilité et surveillance continues des activités clés de cybersécurité au sein du système qu’elles autorisent
  • La capacité à mener une cyberdéfense active afin de répondre aux cybermenaces en temps réel
  • L’adoption et l’utilisation d’une conception de référence DevSecOps approuvée et l’adoption de la stratégie DevSecOps d’entreprise du département

Le DOD estime que cATO est la clé d’une cybersécurité appropriée, car la plupart des systèmes informatiques et OT ne fonctionnent pas indépendamment les uns des autres, et les acteurs malveillants sont plus susceptibles de se déplacer latéralement entre les systèmes et les réseaux que par le passé.

L’objectif d’un cATO est de formaliser et de surveiller les connexions entre ces systèmes de systèmes afin de fournir des capacités cyber-résilientes aux combattants à la vitesse de la pertinence, selon le mémo.

En pratique, le DOD s’attend à ce que les responsables des autorisations intègrent les contrôles de sécurité dans une vue de tableau de bord, fournissant un mécanisme en temps réel et robuste permettant aux AO de visualiser l’environnement. Cela permettra aux responsables des autorisations de prendre de meilleures décisions concernant les cybermenaces actuelles et permettra aux cyberopérations défensives de répondre plus rapidement aux menaces en fonction du système actuel. [cyber] posture.

La note appelle également les composants du DOD à adopter un état d’esprit actif en matière de cybersécurité. L’analyse et l’application de correctifs ne sont plus des stratégies viables pour la cybersécurité, et les systèmes doivent être en mesure de montrer une capacité réelle ou quasi en temps réel à déployer des contre-mesures appropriées pour contrecarrer les cyber-adversaires.

Dans le cadre de l’initiative cATO, le DOD a également défini les exigences relatives à la sécurisation de la chaîne d’approvisionnement des logiciels. Pour réduire les erreurs humaines et suivre de manière adéquate les logiciels via une nomenclature logicielle (SBOM), les composants du DOD et les branches des services militaires doivent adopter une plate-forme logicielle approuvée et des pipelines de développement, selon le mémo.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite