La semaine dernière, le gouvernement fédéral américain a présenté une proposition en cinq étapes Enquête sur le processus d’évaluation de la sécurité 5G. « [It] a été développé pour combler les lacunes dans les directives et les normes d’évaluation de la sécurité existantes qui découlent des nouvelles fonctionnalités et services des technologies 5G », Eric Goldstein, directeur adjoint exécutif de la US Cybersecurity and Infrastructure Security Agency (CISA), a dit. La CISA et ses partenaires de la direction des sciences et technologies du département américain de la sécurité intérieure et du bureau du sous-secrétaire à la défense pour la recherche et l’ingénierie (OUSD R&E) du département de la défense (DoD) ont développé le processus d’évaluation.

« L’intention de ce processus d’évaluation de la sécurité conjointe est de fournir une approche uniforme et flexible que les agences fédérales peuvent utiliser pour évaluer, comprendre et combler les lacunes d’évaluation de la sécurité et de la résilience avec leurs normes et politiques d’évaluation de la technologie », a déclaré Goldstein. « En tant qu’agence nationale de cyberdéfense, la CISA considère un processus reproductible que les agences peuvent utiliser pendant l’étape de préparation du RMF comme un outil essentiel pour les nouvelles implémentations fédérales de la 5G. Un tel processus fournira l’assurance que le système d’entreprise du gouvernement est protégé et que les cybercriminels ne peuvent pas entrer par la porte dérobée. dans les réseaux d’agences grâce à la technologie 5G. »

L’objectif du processus d’évaluation est de permettre au gouvernement fédéral de mieux comprendre et de se préparer à la sécurité et à la résilience de tout déploiement de réseau 5G auparavant. Plus précisément, les agences cherchent à prendre une longueur d’avance avant qu’un bureau fédéral ne procède à une évaluation de sécurité pour obtenir une autorisation d’exploitation (ATO).

Un groupe d’étude de la CISA, du National Institute of Standards and Technology (NIST) et de la MITRE Corporation a été constitué pour « étudier comment la 5G peut introduire des défis uniques dans le processus ATO traditionnel défini dans les processus et cadres d’évaluation de la sécurité tels que [NIST’s] Cadre de gestion des risques (RMF). »

L’enquête 5G comporte cinq étapes

Les cinq étapes recommandées par le groupe sont :

1. Définir le cas d’utilisation fédéral de la 5G. Cette étape appelle une « définition de cas d’utilisation pour identifier les sous-systèmes 5G qui font partie du système, les configurations des composants, les applications et les interfaces impliquées dans le fonctionnement du système ». Des exemples de cas d’utilisation pourraient être le haut débit mobile amélioré, les communications ultra-fiables à faible latence et les communications massives de type machine.
2. Identifiez le périmètre d’évaluation. Cette étape est essentielle compte tenu de la complexité de la technologie 5G, qui rend difficile la définition du périmètre d’évaluation de la sécurité pour un ATO fédéral. Il s’agit de « définir les limites pour identifier les technologies et les systèmes nécessitant une évaluation et une autorisation (A&A), en tenant compte de la propriété et du déploiement des produits et services qui composent le cas d’utilisation ».
3. Identifier les exigences de sécurité. L’identification des exigences de sécurité est « une étape en plusieurs phases qui comprend la réalisation d’une analyse de haut niveau des menaces de chaque sous-système 5G et l’identification des exigences de cybersécurité à traiter par les activités A&A ». Cette étape vise à identifier les capacités d’atténuation de la cybersécurité telles que la gestion des identités, des identifiants et des accès, la sécurité du réseau et la sécurité des communications et des interfaces qui doivent être traitées par les activités A&A.
4. Associez les exigences de sécurité aux directives fédérales. Cette étape appelle la création d’un nouveau catalogue d’orientations fédérales. Ces directives engloberaient le RMF, le cadre de cybersécurité du NIST, la gestion des risques de la chaîne d’approvisionnement, le programme fédéral de gestion des risques et des autorisations (FedRAMP), d’autres directives du NIST et du gouvernement fédéral en matière de cybersécurité concernant les capacités de sécurité et les spécifications applicables de l’industrie.
5. Évaluer les lacunes et les alternatives en matière de conseils de sécurité. Cette cinquième étape consiste à identifier où une exigence de sécurité existe, mais aucune orientation d’évaluation n’est disponible pour guider les activités A&A. Une lacune peut également se produire lorsque l’on pense qu’une exigence de sécurité existe pour atténuer une menace, mais qu’aucune exigence formelle n’a été établie.

Les efforts de CISA s’accordent avec le guide de pratique 5G du NIST

La publication du processus d’évaluation de la sécurité 5G de CISA fait suite à la publication par le National Cybersecurity Center of Excellence (NCCoE) du NIST de parties d’un avant-projet de guide pratique, « Cybersécurité 5G. » Le NCCoE dit que sa « solution proposée contient des approches que les organisations peuvent utiliser pour mieux sécuriser les réseaux 5G grâce à une combinaison de fonctionnalités de sécurité 5G et de contrôles de sécurité tiers ». Le NIST a examiné les approches avec un large éventail de partenaires industriels au sein d’un consortium comprenant AT&T, Intel, Nokia, T-Mobile et Palo Alto Networks, parmi d’autres contributeurs de premier plan en matière de télécommunications et de sécurité.

À l’instar de l’enquête sur le processus d’évaluation de la CISA, la publication du NCCoE souligne les défis inhérents à la nature nouvelle et évolutive des technologies 5G. « La 5G est à un point de transition où les technologies sont simultanément spécifiées dans les organismes de normalisation, mises en œuvre par les fournisseurs d’équipements, déployées par les opérateurs de réseau et adoptées par les consommateurs », indique l’avant-projet de guide pratique du NIST.

Le véritable défi du point de vue du NIST est que si les normes 5G en vigueur traitent des interfaces interopérables entre les composants 5G, elles ne traitent pas des composants informatiques sous-jacents qui prennent en charge et exploitent le système 5G. Cette absence rend difficile pour les organisations qui envisagent de tirer parti de la 5G d’avoir confiance dans leurs approches de sécurité.

Pour cette raison, le NCCoE collabore avec des fournisseurs de technologie 5G et de cybersécurité pour développer un exemple de solution qui tire parti d’une infrastructure d’hébergement cloud native fiable et sécurisée. La première phase du projet montrera également comment les fonctionnalités de sécurité 5G peuvent résoudre les problèmes de sécurité connus rencontrés dans les générations précédentes de réseaux cellulaires tels que l’évolution à long terme (LTE).

L’accent est mis sur le déploiement autonome typique de la 4G

Le projet NCCoE se concentre sur une mise en œuvre typique d’un déploiement autonome sécurisé de la 5G conçu autour de deux domaines d’intérêt :

1. Le domaine d’intervention sécurité des infrastructures, qui « fournirait une plate-forme de confiance et une architecture de référence de sécurité holistique pour un réseau 5G complet ».
2. Le domaine d’intervention de la sécurité autonome 5G, qui « permettrait la configuration de base des fonctionnalités de sécurité du 5G Core d’une manière qui démontre les capacités de cybersécurité disponibles dans un déploiement 5G SA ».

Les phases futures du projet incluraient « une concentration accrue sur la sécurité pour les cas d’utilisation spécifiques à la 5G. Des exemples possibles de ces domaines d’intervention sont la sécurité du découpage du réseau, la sécurité de l’itinérance et l’informatique de pointe 5G ». La CISA et le NIST invitent le public à commenter leurs propositions. La date limite pour soumettre des commentaires à l’une ou l’autre des agences est le 27 juin.