À la suite d'une récente décision de la Cour suprême des États-Unis, les agences devraient se considérer averties que le moment est venu de mettre en œuvre un modèle de confiance zéro pour protéger les informations sensibles contre les accès non autorisés. La décision a été rendue plus tôt cet été, dans l'affaire Van Buren c. États-Unis.
L'affaire a été ouverte sur la base des actions d'un ancien sergent de police de Géorgie qui a reçu de l'argent en échange de la fourniture des informations qu'il a récupérées sur un numéro de plaque d'immatriculation alors qu'il utilisait l'ordinateur de sa voiture de patrouille. La Cour suprême a statué que l'accès de Van Buren relevait de la définition d'utilisation autorisée telle qu'énoncée dans la Loi sur la fraude et les abus informatiques de 1986 (CFAA).
Le programme de l'affaire Van Buren c. États-Unis se résume comme suit : "En résumé, un individu dépasse l'accès autorisé lorsqu'il accède à un ordinateur avec autorisation, mais obtient ensuite des informations situées dans des zones particulières de l'ordinateur - telles que des fichiers, des dossiers ou des bases de données - qui lui sont interdites." À ce titre, toutes les parties conviennent que Van Buren agissait avec autorisation. Le litige portait sur la question de savoir si la récupération d'informations sur les plaques d'immatriculation relevait de cette autorisation. Il était déterminé qu'il le pouvait ; par conséquent, Van Buren n'a pas excédé l'accès autorisé tel que défini dans la CFAA, même si l'obtention de cette information était très certainement à des fins inappropriées.
Étapes pour mettre en œuvre un modèle de confiance zéro
Cette décision devrait avertir les organisations de réévaluer l'accès des employés aux données sensibles. Une approche « ne jamais faire confiance, toujours vérifier » est essentielle. Voici cinq étapes pour établir un protocole Zero Trust.
Comprendre votre inventaire
Afin de protéger vos données sensibles, vous devez d'abord procéder à une évaluation approfondie de votre cyberinfrastructure, en créant un inventaire précis tout en acquérant une bonne compréhension de sa portée. Une architecture Zero Trust ne peut être mise en œuvre sans cette première étape critique.
Pour une approche durable, apportez des changements progressifs
À moins que vous ne construisiez un environnement informatique à partir de zéro, cette architecture Zero Trust ne peut pas être implémentée en un seul effort. Vous devrez probablement fusionner vos efforts Zero Trust avec les anciens. Pour faciliter cette transition, recherchez des façons dont les outils Zero Trust peuvent fonctionner dans votre environnement existant. Établissez des changements qui peuvent être effectués par incréments qui sont faciles à gérer. Incluez des tests de ce qui fonctionne pour vous et votre organisation, puis augmentez-la.
Rappelez-vous que Zero Trust n'est pas un cadre unique
D'autres ont réussi à naviguer ce changement. Demandez leurs conseils et recommandations. Chez Acronis SCS, nous sommes prêts à partager notre expérience avec vous. Nous pouvons être une ressource précieuse dans vos efforts pour établir votre architecture Zero Trust.
Transformez la tactique en stratégie
Vous devrez peut-être obtenir une adhésion de haut niveau lorsque vous développez et réécrivez des politiques informatiques pour atteindre et maintenir vos objectifs Zero Trust. Dans l'environnement de cybersécurité d'aujourd'hui, avec une sensibilisation croissante du public, cela ne devrait pas être une tâche difficile pour vos dirigeants, qui devraient être conscients de la nécessité d'adopter un modèle Zero Trust.
Renforcez vos « pare-feu humains »
À ses racines, une approche Zero Trust reflète deux principes clés.
- Ne fais confiance a personne.
- Vérifiez tout.
En considérant ces principes, il est important de noter qu'une étude a révélé qu'environ un tiers des violations de données découlaient du phishing, et les erreurs attribuées à des erreurs humaines ont un rôle causal dans plus d'un cinquième des violations.
En tant que telle, une mise en œuvre Zero Trust devrait minimiser l'impact qu'aurait toute violation d'origine humaine. Dans le même temps, vous ne devez pas négliger le rôle essentiel que jouent les humains dans la protection de vos systèmes et de vos informations contre toute forme de compromission, telle que la perte de données et les cyberattaques.
Au fur et à mesure que vous mettez en place votre architecture Zero Trust, il est essentiel de vous assurer que chaque employé est un participant actif en lui donnant les moyens de le faire. Les séances de formation et d'information devraient être conçues pour inculquer une culture de sécurité à l'ensemble de la main-d'œuvre. Assurez-vous que chaque employé a le pouvoir d'être un pare-feu humain - #Cyberfit, constamment vigilant et résilient. Comme pour la plupart des changements de cette nature, la mise en œuvre d'une architecture Zero Trust doit être un effort d'équipe pour réussir.
Travailler avec Acronis SCS sur votre parcours Zero Trust
Chez Acronis SCS, nous avons déjà emprunté cette voie. Nous avons mis en œuvre l'architecture Zero Trust au sein de notre propre organisation et avons une richesse d'expérience et de connaissances à partager avec nos partenaires. Nous encourageons les organisations prêtes à commencer à contactez-nous Dès que possible.
Vos besoins spécifiques seront probablement différents des nôtres ou de ceux d'autres organisations. Néanmoins, notre expérience à la fois avec notre propre processus de mise en œuvre et compte tenu de notre position en tant que fournisseur leader de solutions de cybersécurité pour le secteur public américain peut aider à ouvrir la voie.
Une protection active contre les ransomwares, telle qu'Acronis SCS Cyber Backup 12.5 Hardened Edition, peut protéger votre entreprise contre les violations de données inutiles et coûteuses, tandis qu'une simple solution de notarisation et d'authentification numérique peut empêcher des acteurs malveillants de modifier vos données.
Les résultats de Van Buren c.États-Unis ont effectivement mis le secteur public en demeure. En conséquence, il est clair que des mesures doivent être prises rapidement pour sécuriser les données les plus sensibles de notre pays. Cette action commence par la mise en œuvre d'une architecture Zero Trust.
