En réponse aux acteurs malveillants ciblant les systèmes informatiques fédéraux américains et leur chaîne d’approvisionnement, le président a publié le « Décret exécutif sur l’amélioration de la cybersécurité de la nation (Ordre exécutif). »
Bien qu’il s’adresse aux ministères et organismes fédéraux, le décret exécutif aura probablement un effet d’entraînement sur le flux d’approvisionnement technologique fédéral. Les entreprises privées et les entreprises se tourneront vers le décret exécutif pour développer leurs meilleures pratiques.
À un niveau élevé, le décret comprend des exigences de partage d’informations, une poussée vers les architectures cloud et Zero Trust, et l’amélioration de la transparence tout au long de la chaîne d’approvisionnement des logiciels.
Comprendre les principes fondamentaux du décret de la Maison Blanche sur l’amélioration de la cybersécurité de la nation
La majeure partie du décret exécutif se concentre sur les tâches administratives qui y sont associées, notamment la redéfinition du langage contractuel, la fixation des délais et la définition des rôles et des responsabilités des agences. Pour les entreprises qui ne fournissent pas de technologie au gouvernement fédéral, le décret peut sembler sans importance.
En réalité, plusieurs des principes de base pourraient être utilisés par des entreprises opérant en dehors de la chaîne d’approvisionnement informatique fédérale, notamment :
- Un meilleur partage des renseignements
- Moderniser l’infrastructure de l’agence avec le cloud et Zero Trust
- Sécurisation de la chaîne d’approvisionnement fédérale en logiciels informatiques
Ce que dit le décret
Le texte du décret exécutif est long et s’accompagne de tout le jargon réglementaire associé à la loi. Le décomposer en morceaux de la taille d’une bouchée donne cependant un bon aperçu.
Un meilleur partage d’informations
Le point court et succinct de celui-ci est que « tout le monde doit bien jouer et arrêter de se cacher derrière des contrats ». En un mot, le décret exécutif cherche à créer une opportunité de partage d’informations plus significative pour les agences et les fournisseurs lorsque les acteurs de la menace trouvent et exploitent une vulnérabilité.
Passez au cloud et créez une architecture Zero Trust
Bien que celui-ci parle principalement de lui-même, les exigences du décret exécutif ont créé un peu de panique dans l’espace fédéral car de nombreux délais sont très courts. Par exemple, dans les 60 jours, les agences fédérales doivent :
- Prioriser les ressources pour migrer vers le cloud le plus rapidement possible
- Plan de mise en œuvre de l’architecture Zero Trust (ZTA)
- Sécurisez autant que possible les choses et remédiez au cyber-risque
Enfin, dans les 180 jours, ils doivent tous adopter l’authentification multifacteur (MFA) et le cryptage au repos et en transit. Les agences adoptant des applications SaaS (Software-as-a-Service) pour moderniser leurs piles informatiques, les configurations d’identité et de contrôle d’accès, y compris l’authentification multifacteur, constituent la principale stratégie d’atténuation des risques.
Sécuriser la chaîne d’approvisionnement
Sans même avoir besoin d’énumérer les récents piratages et violations de la chaîne d’approvisionnement, c’est la moins surprenante de toutes les exigences. Surprenant très peu de personnes, cette section comprend plusieurs points clés :
- Créer des critères pour l’évaluation de la sécurité des logiciels
- Établir des normes et des procédures pour le développement de logiciels sécurisés
- Établir une « nomenclature logicielle » qui répertorie tous les « ingrédients » technologiques utilisés par les développeurs
Ce que le décret exécutif signifie pour les entreprises
Pour les agences, cela va demander un peu de travail. Pour les entreprises, c’est probablement un signe avant-coureur des choses à venir. Le problème est que, bien que le décret exécutif soit un bon début, les deux exigences principales pour mettre en œuvre Zero Trust, l’AMF et le cryptage, ne comblent pas vraiment toutes les lacunes de sécurité du cloud.
Selon le Rapport d’enquête sur les violations de données 2021 Les mauvaises configurations (DBIR) restent un vecteur de menace principal pour les architectures cloud. L’utilisation accrue des applications Software-as-a-Service (SaaS) déclenche en fait deux schémas d’attaque différents :
- Attaques d’applications Web de base: axé sur des objectifs directs, allant de l’accès aux données de messagerie et d’application Web à la réutilisation de l’application Web pour distribuer des logiciels malveillants, des dégradations ou des attaques par déni de service distribué (DDoS).
- Erreurs diverses: actions non intentionnelles, généralement par un acteur interne ou des acteurs partenaires, y compris l’envoi de données aux mauvais destinataires.
Selon le DBIR, les attaques d’applications Web de base incluent des éléments tels que le vol d’informations d’identification et les attaques par force brute. Pendant ce temps, le sous-ensemble des erreurs diverses incluait également des éléments tels que le stockage de fichiers dans le cloud placé sur Internet sans aucun contrôle.
Ces vecteurs d’attaque montrent l’importance de la gestion de la sécurité SaaS pour la sécurité du cloud dans son ensemble. De nombreuses entreprises manquent de visibilité sur leurs configurations et la prolifération des applications SaaS rend presque impossible la surveillance manuelle de la configuration. Alors que les entreprises poursuivent leur processus de transformation numérique, la surveillance et la gestion de la configuration deviendront de plus en plus difficiles.
La sécurité du cloud, même en mettant l’accent sur l’établissement d’une architecture Zero Trust, doit intégrer la sécurité des applications SaaS. Alors que les agences et les entreprises de leur chaîne d’approvisionnement intègrent des applications SaaS, le risque de sécurité posé par les mauvaises configurations doit être pris en compte.
La liste de lecture d’amélioration de la sécurité SaaS
Alors que les agences et les entreprises commencent à rechercher des solutions, l’amélioration de la sécurité SaaS devrait figurer sur la liste des « mesures proactives à prendre ».
Intégrez toutes les applications : parcourez la route longue et sinueuse
Faire les affaires de votre entreprise nécessite de nombreuses applications, en particulier pour les employés distants. Malgré un cycle d’achat potentiellement long, l’ajout d’applications à votre pile est relativement facile. Votre équipe informatique crée des connexions à votre infrastructure cloud à l’aide d’API, puis ajoute les utilisateurs. Les gens peuvent se mettre au travail.
Gérer la sécurité des applications SaaS sur le long terme est le grand défi. Vous avez beaucoup d’applications, et chacune a des configurations et un langage uniques. Aucune organisation ne peut avoir un expert dans chaque langage et configuration d’application. Si vous pouvez intégrer toutes vos applications dans une plate-forme unique qui crée une approche standardisée des configurations, vous faites le premier pas sur la route longue et sinueuse de la sécurisation de votre infrastructure cloud.
Vérifier l’accès et appliquer les politiques : Stop Believin’
Alors que Journey pourrait dire « n’arrêtez pas de croire », une architecture Zero Trust signifie ne croire personne ni rien jusqu’à ce qu’il fournisse la bonne preuve. Par exemple, MFA ne fonctionne pas sur un système qui utilise des protocoles d’authentification hérités comme IMAP et POP3. Si vous avez besoin de sécuriser votre pile SaaS et de respecter ces délais courts, vous avez besoin d’une visibilité sur tous les accès des utilisateurs, en particulier les détenteurs d’accès privilégiés comme les super-administrateurs ou les comptes de service.
Les entreprises ont besoin de politiques unifiées pour toutes les applications SaaS, garantissant une conformité continue. Cela signifie la possibilité d’analyser l’accès de chaque utilisateur sur toutes vos plates-formes SaaS par rôle, privilège, niveau de risque et plate-forme avec la possibilité de mélanger et de faire correspondre vos recherches, afin que vous disposiez des informations dont vous avez besoin, quand vous en avez besoin.
Éliminez les mauvaises configurations SaaS
Surveillez la sécurité SaaS en continu : vous devez savoir
La partie la plus difficile de la sécurité SaaS est qu’elle change continuellement, comme les employés partageant des documents avec des tiers ou ajoutant de nouveaux utilisateurs non professionnels aux plateformes de collaboration. Le problème est que le décret et la plupart des autres mandats de conformité supposent que vous devez connaître votre position en matière de risque parce que vous surveillez en permanence votre sécurité.
Vous avez besoin d’une sécurité SaaS permanente qui fournit une identification des risques en temps réel, des alertes contextuelles et une hiérarchisation des risques.
Automatisez les activités de remédiation : ne vous laisserez jamais tomber
Aucun être humain ne peut gérer la sécurité SaaS manuellement.
La gestion manuelle des risques liés à tant d’utilisateurs, d’applications et d’emplacements laissera le service informatique fonctionner avec de l’espresso et des boissons énergisantes et, malheureusement, très probablement, passer à côté d’un risque critique.
L’automatisation du processus de sécurité SaaS dans une plate-forme unique basée sur le cloud est le moyen le plus efficace de gérer le processus. Les solutions de gestion de plate-forme SaaS répondent à votre sécurité là où elle réside, dans le cloud, afin que vous puissiez automatiser votre sécurité à la vitesse du cloud, réduire les risques et renforcer votre posture de sécurité et de conformité.
Bouclier adaptatif : la gestion de la sécurité des performances SaaS est le chaînon manquant
Bouclier adaptatif offre une visibilité complète sur l’un des problèmes les plus complexes de la sécurité du cloud. Cette solution de gestion de la posture de sécurité SaaS permet aux entreprises de surveiller en permanence les risques de mauvaise configuration dans l’ensemble du parc SaaS : des configurations couvrant les logiciels malveillants, le spam et le phishing aux comportements suspects et aux autorisations utilisateur mal configurées.
Adaptive Shield aligne les contrôles techniques avec les références CIS et peut mapper la conformité des contrôles au NIST 800-53 ainsi qu’à d’autres cadres.
La solution de gestion de plate-forme de sécurité Adaptive Shield SaaS se connecte également de manière native aux solutions d’authentification unique (SSO), comme Azure, Ping et Okta, pour aider à suivre l’utilisation de l’authentification multifacteur dans l’ensemble de l’organisation.
Les applications SaaS devenant la règle plutôt que l’exception pour les entreprises modernes, la sécurité du cloud repose sur une surveillance continue des erreurs de configuration SaaS risquées.