Qu'est-ce que Trusted Internet Connection (TIC) 3.0 ?

Trusted Internet Connection (TIC) est une initiative fédérale lancée en 2007 pour améliorer les points de présence Internet et les connexions réseau externes du gouvernement. TIC 3.0 est la dernière version de cette initiative, qui modernise l'informatique fédérale et permet aux agences gouvernementales d'accéder aux services infonuagiques et de travailler à distance en toute sécurité.

Alors, qu'est-ce qu'une connexion Internet fiable ? Clairement, une connexion Internet fiable fait partie du mandat du Bureau de la gestion et du budget visant à limiter le nombre de passerelles sur le réseau gouvernemental. La réglementation des TIC exige que tout le trafic Internet fédéral soit acheminé par l'entremise d'une agence agréée par les TIC.

Traditionnellement, les agences s'appuient sur des solutions de sécurité périmétriques. Ces méthodes fonctionnaient (dans une certaine mesure) lorsque la plupart des employés travaillaient à l'intérieur du périmètre et accédaient aux applications et aux données par le centre de données.

On s'attend à ce que TIC 3.0 améliore considérablement la sécurité dans l'environnement informatique actuel basé sur le cloud. Mais pour en tirer pleinement parti, les agences reconnaissent qu'elles doivent également adopter un modèle de sécurité Zero Trust afin d'assurer la protection des données au sein des applications en réseau.

Qu'est-ce que le Zéro Trust et quel est son lien avec TIC 3.0 ?

Le modèle Zero Trust est devenu un objectif de plus en plus important pour les organisations depuis son introduction en 2010 ; TIC 3.0 est une obligation fédérale. TIC 1.0 et TIC 2.0 étaient presque exclusivement axés sur la sécurité d'accès au réseau. TIC 3.0 est principalement axé sur les données et le comportement des utilisateurs, reflétant à la fois l'évolution des menaces modernes et les faiblesses inhérentes à une sécurité exclusivement réseau.

Selon les dernières recommandations du NIST publiées en août 2020 (Architecture Zero Trust - nist.go), Le Zero Trust (ZT) est le terme désignant un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des périmètres statiques basés sur le réseau vers une focalisation sur les utilisateurs, les actifs et les ressources telles que les données.

Plus précisément, le modèle Zero Trust part du principe qu'aucune confiance implicite n'est accordée aux actifs (comme les données) ou aux comptes d'utilisateurs en fonction uniquement de leur emplacement physique ou réseau (c'est-à-dire les réseaux locaux par rapport à Internet) ou en fonction de la propriété des actifs (propriété d'entreprise ou personnelle). L'authentification et l'autorisation (du sujet et du dispositif) sont des fonctions distinctes effectuées avant l'établissement d'une session sur une ressource d'entreprise. Le modèle Zero Trust est une réponse aux tendances des réseaux d'entreprise qui incluent les utilisateurs distants, le BYOD (Apportez votre propre appareil) et les ressources infonuagiques qui ne sont pas situées à l'intérieur du périmètre du réseau appartenant à l'entreprise.

Le modèle Zero Trust se concentre sur la protection des ressources (actifs, services, flux de travail, comptes réseau, etc.), et non sur celle des éléments du réseau, car le réseau seul ne suffit plus à assurer la sécurité de la ressource. Nous présentons ci-dessous les dimensions du modèle Zero Trust, ainsi que des modèles de déploiement généraux et des cas d'utilisation où le Zero Trust pourrait améliorer la posture globale de sécurité informatique d'une entreprise.

Sara Mosley, architecte stratégique au Département d'État, a déclaré dans un article récent que TIC 3.0 et Zero Trust sont des dimensions d'une nouvelle philosophie de sécurité accélérée et mise en évidence par la pandémie.

Apprenez-en plus sur le concept de confiance zéro.

Quelle est la différence entre TIC 2.0 et TIC 3.0 ?

Nous savons que le gouvernement fédéral a mis à jour sa politique de connexion Internet de confiance (TIC), mais pourquoi un changement était-il nécessaire et quelles améliorations ont été apportées par rapport à la version 2.0 ?

Un des héritages malheureux de la sécurité périmétrique, seul objectif des TIC 1.0 et TIC 2.0, est un faux sentiment de sécurité omniprésent. En se concentrant excessivement sur le maintien des intrus à l'extérieur du mur de protection, les entreprises étaient vulnérables aux menaces internes. Les failles de sécurité sont souvent restées indétectées pendant plusieurs mois.

Selon la Cybersecurity and Infrastructure Security Agency (CISA), dans le cadre de TIC 2.0, la sécurité des TIC sécurisait le périmètre d'une agence en acheminant toutes les données entrantes et sortantes vers un seul point d'accès. Dans la version 3.0, les agences bénéficient d'une plus grande flexibilité pour choisir les plans de sécurité qui correspondent le mieux à leur réseau et à leurs besoins spécifiques.

La dernière génération de Trusted Internet Connection (TIC 3.0) facilitera la modernisation des agences lors de la mise à niveau de leurs infrastructures de réseau et de centre de données. « TIC 3.0 nous offre l'agilité dont nous avons besoin pour aller de l'avant », a déclaré Allen Hill, directeur du Bureau des services de télécommunications au sein des Services fédéraux d'acquisition de la GSA, lors de la réunion publique de mi-novembre sur le contrat de 50 milliards de dollars sur 15 ans de l'agence pour les solutions d'infrastructure d'entreprise (EIS) .

L'initiative TIC, qui vise à sécuriser le trafic Web fédéral, a débuté il y a plus de dix ans lorsque les agences ont sécurisé ce trafic grâce à de nombreux centres de données dédiés, dispositifs de sécurité et réseaux privés virtuels. Depuis, les agences fédérales se sont tournées vers la technologie infonuagique, avec ses méthodes de transmission de données plus efficaces, évolutives et à distance, qui rendent obsolètes les anciennes protections.

EIS intègre des services de réseau définis par logiciel qui étendent considérablement les paramètres du réseau. TIC 2.0 diversifie le routage autour des goulots d'étranglement du réseau que les réseaux définis par logiciel (SDN), et il limite les routes qui peuvent être utilisées, a-t-il déclaré.

« Avec l’essor du nuage dans les efforts de modernisation, TIC 2.0 est devenu une limite », a déclaré John Simms, chef adjoint de la branche d’assurance de la cybersécurité au sein de la division de résilience des réseaux fédéraux de la CISA. Simms a dit que son agence cherchait à déterminer comment TIC 3.0 pouvait sécuriser les environnements cloud. « Nous ne devons pas seulement penser au périmètre du réseau ou au trafic réseau, mais aussi aux applications elles-mêmes et à la manière dont nous pouvons utiliser intelligemment les technologies pour sécuriser ces piles d'applications, les données et la surveillance. »

La CISA, la GSA et le Chief Information Security Officer Council développent des programmes pilotes et des cas d'utilisation TIC 3.0 pour des applications spécifiques, a déclaré Shawn Connelly, responsable du programme TIC et architecte principal en cybersécurité à la CISA. Les cas d'utilisation actuels couvrent l'infrastructure en tant que service (IaaS), le logiciel en tant que service (SaaS), le courriel en tant que service (EaaS) et la plateforme en tant que service, ainsi que les applications de succursales, mais, selon Connelly, les agences peuvent en suggérer d'autres.

« TIC 3.0 donne aux agences la possibilité de participer à des projets pilotes pour de nouvelles interprétations » en matière de cas d'utilisation, a-t-il déclaré. « La CISA travaillera avec l'agence pendant la période pilote afin de développer des pratiques exemplaires, de rendre l'interprétation de l'application plus indépendante des fournisseurs et de voir comment elle pourrait être utilisée dans l'ensemble du gouvernement fédéral », a déclaré Connelly.

Selon Connelly, la CISA discute actuellement avec des agences d'un cas d'utilisation de type « confiance zéro » et d'un cas d'utilisation de collaboration entre partenaires.

Dans TIC 3.0, les agences peuvent mettre en œuvre des mesures de sécurité plus proches de leurs données et établir des zones de confiance et des cas d'utilisation plutôt que de rediriger les données vers des points d'accès pour inspection. Cette flexibilité est particulièrement utile lorsqu'il s'agit de technologies de type « logiciel en tant que service » (SaaS) et lorsque les employés travaillent à distance.

TIC 3.0 reconnaît que la sécurité du périmètre n'est plus suffisante. Cela s'explique en partie par le grand nombre d'utilisateurs ou de systèmes fonctionnant à l'extérieur du périmètre ; de plus, les acteurs malveillants sont devenus beaucoup plus compétents pour voler des identifiants et pénétrer dans le périmètre.

Que requiert TIC 3.0 ?

TIC 3.0 comprend cinq objectifs de sécurité qui permettent aux agences fédérales d'effectuer la transition vers le modèle de confiance zéro :

1. Gestion du trafic – Validation des connexions Internet fiables et sécurisation des activités autorisées. Contrôler qui a accès à des données spécifiques, pourquoi cet accès a été accordé et si cet accès est toujours nécessaire.

2. Confidentialité du trafic – Assurer la confidentialité et la sécurité des renseignements relatifs aux données consultées, à leurs expéditeurs et à leurs destinataires. Vérifier que seul le personnel autorisé a accès aux données de trafic.

3. Intégrité du trafic – Maintien de l’intégrité des données pendant leur transit. Prévenir toute altération des données et/ou détecter toute altération.

4. Résilience du service – Assurer le fonctionnement continu des systèmes de sécurité. Les menaces évoluent et se développent constamment, et la continuité des systèmes face aux nouvelles menaces et technologies est vitale.

5. Réponses rapides et efficaces – Lorsque des menaces sont détectées, la vitesse de réaction est essentielle. TIC 3.0 favorise des réactions efficaces, l'adaptation des réponses futures, la mise en œuvre de nouvelles politiques et l'adoption de nouvelles contre-mesures lorsqu'un système a été compromis.

Qu'est-ce que le trafic géré dans TIC 3.0 ?

La gestion du trafic au sein de TIC 3.0 permettra d’« observer, valider et filtrer les connexions de données afin de les aligner sur les activités autorisées, le principe du moindre privilège et le refus par défaut ».

Le défi d'une gestion efficace du trafic est de savoir où se trouvent les données et qui ou quoi devrait y avoir accès en tout temps, qu'elles soient stockées ou en transit. Pour acquérir ces connaissances, les agences ont besoin d'outils qui permettent de développer une vision globale et cohérente des identités, tant à l'intérieur qu'à l'extérieur des organisations. Un outil efficace recueille et organise les données de gouvernance des identités , fournissant des renseignements sur qui a accès, pourquoi cet accès a été accordé et si cet accès est toujours nécessaire. La surveillance et les mises à jour continues fournissent une source unique de vérité pour l'identité et l'accès.

Les agences peuvent commencer par évaluer où elles se situent dans la matrice de sécurité par rapport à la gestion des identités et des accès (IAM). L'IAM est un modèle à plusieurs niveaux dans lequel chaque niveau de sécurité sert de base aux niveaux suivants.

• La sécurité de niveau un comporte quatre composantes. La première solution consiste à mettre en place une authentification unique et peut-être une forme de fédération au niveau du département.
• Le deuxième niveau correspond à la capacité d'effectuer l'approvisionnement des utilisateurs de manière automatisée et auditable, contrairement à la situation où un utilisateur potentiel reçoit un document papier ou un courriel pour créer un formulaire utilisateur.
• Le troisième niveau est le libre-service utilisateur afin de s'assurer que les utilisateurs sont authentifiés pour l'accès, les autorisations récentes, l'utilisation antérieure, etc., de manière auditable.
• Le niveau quatre correspond à l'administration déléguée.

Comment protéger l'intégrité du trafic dans TIC 3.0 ?

La norme TIC 3.0 exige que seules les parties autorisées puissent discerner le contenu des données en transit, l'identification de l'expéditeur et du destinataire, et l'application de la loi.

Le défi que représente la protection de la confidentialité du trafic consiste à chiffrer les données en transit, y compris les données non structurées, et à confirmer l'identité des expéditeurs et des destinataires. Une solution consiste à intégrer des pilotes de noyau dans la pile du système de fichiers des systèmes Windows et non-Microsoft, fonctionnant de manière transparente pour l'utilisateur final. Un pilote intercepte les fichiers, chiffre et déchiffre les données à la volée, et fonctionne avec toutes les applications et tous les types de fichiers.

Les organisations peuvent utiliser des règles stratégiques pour garantir le chiffrement automatique des données en temps réel, sans ralentir le flux de travail. Ces solutions permettent également la surveillance des données en temps réel, notamment la saisie et l'analyse d'informations telles que la date et le lieu d'ouverture d'un fichier et son utilisation.

La protection de la confidentialité du trafic implique un chiffrement préservant le format, et le niveau deux de la gestion des accès et des identités couvre une demi-douzaine de fonctionnalités environ.

1. La première est l'authentification multifactorielle, qui comprend une série de nouvelles fonctionnalités de connexion introduites pendant la pandémie, en réponse à l'augmentation du télétravail.
2. Deuxièmement, il y a une visibilité accrue sur la gouvernance, en ce qui concerne les personnes ayant accès aux différents actifs.
3. Le troisième point concerne la gestion des accès privilégiés, qui traite des différents niveaux de sécurité auxquels les administrateurs système peuvent accéder et qu'ils peuvent contrôler.
4. Quatrièmement, il s'agit d'un répertoire virtuel des utilisateurs et des capacités , régulièrement mis à jour et jamais statique.
5. En cinquième position, on retrouve la sécurité des services et la surveillance des modifications, puis la sécurité des données et le chiffrement.

Comment TIC 3.0 assure-t-elle la résilience des services ?

La résilience des services favorise des applications et des services de sécurité résilients pour un fonctionnement continu face à l'évolution du paysage technologique et des menaces. L'efficacité de la mission exige la continuité et la fiabilité du système. Assurer la disponibilité du système peut s'avérer difficile lorsque la demande pour un système augmente brusquement ou qu'un réseau est attaqué, surtout si l'équipe informatique est surchargée. L'automatisation des tâches routinières et répétitives, ainsi que l'ajout de processus de flux de travail, peuvent alléger la charge de travail des employés et assurer la continuité des opérations. Les logiciels spécialisés ont la capacité de gérer la moitié, voire plus, des tâches de réponse aux incidents. L'automatisation des flux de travail et l'IA peuvent interroger les terminaux, configurer les pare-feu, isoler les ordinateurs d'un réseau et verrouiller les comptes utilisateurs.

Ces technologies aident aussi les analystes humains en recueillant des données afin d'accélérer l'analyse et de prendre des mesures correctives. Dans les études de cas, l'IA intégrée et l'apprentissage machine peuvent accélérer l'investigation et la réponse aux incidents par un facteur de 10. En matière de détection et de réponse aux menaces, chaque seconde compte. Une plateforme SIEM (Security Information and Event Management) performante détectera, analysera et hiérarchisera ces menaces en temps réel. Les plateformes efficaces prennent également en charge les centres d'opérations de sécurité (SOC) en matière de gestion des flux de travail, des réponses et de la conformité. Un moteur de corrélation des menaces à la fine pointe de l'industrie favorisera une analyse de sécurité efficace au sein d'un SOC.

Comment TIC 3.0 assure-t-il une réponse efficace aux incidents ?

L'objectif principal de la réponse aux incidents est de favoriser une réaction rapide et d'adapter les réponses futures pour détecter les menaces, définir et mettre en œuvre des politiques et simplifier l'adoption de nouvelles contre-mesures.

La menace interne actuelle se manifeste principalement sous forme de code d'application et de sécurité des applications. En moyenne, les applications utilisées par les agences gouvernementales sont composées à 80 % de code personnalisé ou de code source ouvert. Ils ne proviennent pas d'un fournisseur disposant de capacités de test logiciel de niveau entreprise, ni même d'une responsabilité en la matière. Les incidents et les violations de données informatiques sont, dans 85 % des cas, le résultat de codes personnalisés ou de codes sources ouverts. Ce code constitue une véritable source de problèmes de sécurité.

À l'heure actuelle, les organisations répondent régulièrement à d'importants volumes d'alertes et de données sur les menaces nécessitant une attention immédiate. Pour gérer le flux incessant de données critiques, les agences auront à l'avenir davantage recours à des activités automatisées pilotées par des machines. Les organismes qui évoluent vers le TIC 3.0 bénéficieront de technologies qui aident les organisations à disposer d'un endroit central pour recueillir les alertes et les flux de menaces, et à réagir et corriger les incidents à la vitesse de la machine.

Quels outils et approches peuvent être utilisés pour répondre aux exigences de TIC 3.0 ?

L’authentification multifactorielle (MFA) permet de centraliser la gestion de l’authentification et de l’autorisation. Une gestion simplifiée grâce à une solution unique permet de réduire les coûts et de renforcer la sécurité. Les solutions qui tirent parti des normes ouvertes permettent une intégration rapide et protègent contre les failles de sécurité et le risque de dépendance envers un fournisseur. La flexibilité intégrée d'un cadre d'authentification avancé permet de personnaliser les protocoles et les méthodes de sécurité, ainsi que d'améliorer l'expérience utilisateur globale.

Le chiffrement préservant le format (FPE) est un nouveau type de chiffrement utilisé pour chiffrer un texte clair préservant sa longueur et son format d'origine décrits par la norme NIST (SP 800-38G), est largement vérifié et validé par la communauté cryptographique et garantit que toutes les données exfiltrées sont inutilisables. Ce type de solution de sécurité, comme Voltage, peut être facilement intégré aux applications existantes.

Les logiciels d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) peuvent automatiser trois grandes catégories d'activités, toutes traditionnellement exécutées manuellement par des analystes :

• Tri automatisé : au lieu qu’un analyste SOC de niveau 1 examine l’alerte et effectue un tri manuel, Arcsight SOAR peut effectuer un tri automatisé. Cela pourrait consister à effectuer certains contrôles pour éliminer les faux positifs de base, à rechercher des actifs, des adresses IP, etc. pour ajuster les niveaux de gravité, voire à regrouper plusieurs alertes différentes en un seul cas d'incident et même à envoyer automatiquement le billet au membre ou au groupe approprié au sein des équipes SecOps. L'objectif de ce type d'automatisation est d'éliminer autant que possible, au fil du temps, les tâches de niveau 1.
• La collecte et la corrélation des données permettent d'enrichir l'analyse de l'incident avec des informations pertinentes, facilitant ainsi sa compréhension. La recherche d'un utilisateur dans Active Directory, la vérification de l'accès au bâtiment via son badge, la collecte des hachages de tous les programmes exécutés sur un ordinateur donné et la récupération de l'historique de navigation Web d'un utilisateur depuis Arcsight Logger sont autant d'exemples d'activités de gestion des journaux et de collecte de données propres aux solutions SIEM . Dans le jargon SOAR, on les appelle des enrichissements ; des données pour mieux comprendre la situation. La collecte automatisée de données présente généralement des avantages considérables ; dès qu'un incident apparaît sur votre écran, toutes les données pertinentes ont probablement déjà été recueillies et vous sont présentées sur le même écran. Plus besoin de se déplacer et de recueillir les données manuellement. En règle générale, ArcSight SOAR d'OpenText ™ peut consolider 5 000 alertes en 250 incidents individuels gérables, réduisant ainsi la charge de travail des analystes SOC avant même que nous commencions à travailler.
• Confinement automatisé : vous pouvez prendre des mesures sur l’infrastructure et les dispositifs de sécurité pour contenir une attaque en cours ; bloquer une adresse IP sur le pare-feu, une URL sur une passerelle Web, isoler un ordinateur sur le NAC sont des exemples de telles mesures.

La force de ce type d'automatisation réside dans la possibilité de combiner et d'associer toutes ces catégories et de créer des scénarios complets et automatisés, si vous le souhaitez.

Comment la sécurité des TIC évoluera-t-elle au sein du gouvernement ?

La résilience du système et la gestion des risques bénéficieront également de la mise en œuvre de TIC 3.0.

Des cas d'utilisation impliquant la confiance zéro, l'Internet des objets (IdO), la communication interagences et le SaaS devraient tous être publiés à mesure que les TIC continuent d'évoluer. Ces cas d'utilisation serviront de guide aux agences lors de la configuration de leurs plateformes et services afin qu'ils soient conformes à la version 3.0.

Des superpositions ont également été créées pour utiliser des plateformes fournies par des fournisseurs externes afin de garantir que les capacités de sécurité des TIC soient pleinement fonctionnelles sur toutes les plateformes.

Les agences peuvent participer à des projets pilotes en TIC pour des scénarios qui ne sont pas encore couverts par les cas d'utilisation. Ce processus collaboratif est soutenu par des instances dirigeantes comme la CISA et l'OMB et pourrait mener à de nouveaux cas d'utilisation pour les technologies employées par le gouvernement fédéral.

OpenText s'engage à être un partenaire dans la transformation numérique des entreprises, des commerces et des agences fédérales. Notre logiciel ouvert et flexible aide les entreprises à réussir leur transition vers les technologies du futur, notamment en fournissant des services et des solutions TIC 3.0. Découvrez les solutions gouvernementales d'OpenText qui peuvent vous aider à moderniser et à sécuriser vos infrastructures de réseau et de centre de données grâce à TIC 3.0 et Zero Trust.