La Maison Blanche a demandé aux agences gouvernementales de s’inscrire à des pratiques de sécurité de confiance zéro dans le but de renforcer sa protection en ligne/
Une note de l’Office of Management and Budget (OBM), la branche de gestion budgétaire de la Maison Blanche, conseille à tous les chefs de départements et d’agences exécutifs de passer à la confiance zéro, un modèle de cybersécurité dans lequel les appareils, les applications et les individus ne sont « jamais fiables et toujours vérifiées », et l’accès aux différentes ressources n’est donné que pour la tâche à accomplir, tout étant authentifié au cas par cas.
L’évolution vers la confiance zéro, explique en outre le mémorandum, signifiera répertorier l’inventaire complet des appareils, mettre en œuvre des contrôles d’identité et d’accès plus solides et opter pour une authentification plus multifacteur. Les appareils devraient être surveillés conformément aux spécifications établies par la Cybersecurity and Infrastructure Security Agency (CISA). Exécuter simplement un antivirus et un pare-feu ne suffira pas, semble-t-il.
Motivé par log4j
« Face à des cybermenaces de plus en plus sophistiquées, l’administration prend des mesures décisives pour renforcer les cyberdéfense du gouvernement fédéral », a déclaré la directrice par intérim de l’OMB, Shalanda Young.
« Cette stratégie de confiance zéro vise à garantir que le gouvernement fédéral montre l’exemple, et elle marque une autre étape clé dans nos efforts pour repousser les attaques de ceux qui feraient du mal aux États-Unis. »
L’une des raisons qui a poussé la Maison Blanche à publier ce mémo semble être la faille log4j récemment découverte. Le jour zéro, qui a été découvert pour la première fois à la fin de l’année dernière, a affecté d’innombrables services en ligne et a été décrit comme l’une des failles les plus dangereuses jamais découvertes, en raison de son potentiel destructeur et de la facilité avec laquelle il peut être exploité.
Apache a depuis publié plusieurs correctifs pour tenter de boucher le trou.
« Alors que nos adversaires continuent de rechercher des moyens innovants de violer notre infrastructure, nous devons continuer à transformer fondamentalement notre approche de la cybersécurité fédérale », a ajouté la directrice de la CISA, Jen Easterly.
« La confiance zéro est un élément clé de cet effort de modernisation et de renforcement de nos défenses. CISA continuera à fournir un soutien technique et une expertise opérationnelle aux agences alors que nous nous efforçons d’atteindre une base de maturité commune.
Via : The Verge