Au cœur des sujets de défense, le Zero-Trust
La cybersécurité dans le domaine de la défense au niveau régalien ou industriel est un enjeu à la fois vital au regard de l’environnement géopolitique et décisif pour se préparer à tout conflit. Chacun se prépare, des pays se dotent de Régiment de cybersécurité et l’OTAN a défini l’espace cyber comme un nouveau domaine d’opération, comme le sont les airs, la terre, la mer.
Le paradigme du Zero-Trust s’impose dans tous les domaines et est un élément structurant dans le milieu de la défense comme le démontre les communications et règlements de certains pays, en étant souvent représentés par les notions qu’il recouvre, à défaut d’être toujours explicitement cité.
Systancia depuis 2016 et sa première certification et qualification élémentaire par l’ANSSI a développé une offre qui été sélectionnée par un grand nombre d’organisations gouvernementales ou privées du secteur de la sécurité et de la défense avec comme premier critère notre capacité Zero Trust, telle qu’elle a été reconnue comme unique en Europe par des analyses comme le Gartner. Cette capacité peut se décliner sur des accès hautement sécurisés, des accès à privilèges ou pour la gestion des identités, la clé du Zero-Trust. Le tout dans une approche sous forme onpremise ou bien via la plate-forme SaaS cyberelements. Il ne nous est pas autorisé de communiquer sur nos clients quel que soit le pays, mais, le label « utilisé par les Forces Armées Françaises » est un indice fort de notre présence dans ce secteur.
Les états se sont structurés pour muscler la réponse cyber
Chaque pays ou groupement de pays se donne les moyens de réglementer et d’assurer le niveau de protection, en premier lieu, de ses organisations militaires, gouvernementales mais également des organisations publiques ou privées qui relèvent du régalien ou d’infrastructures critiques.
Aux Etats-Unis, ce sera structuré par le National Defense Authorization Act (NDAA) avec une approche budgétaire annuelle, au Royaume-Uni et en France, l’approche est pluri-annuelle avec respectivement le « Defence Command Paper » et la « Loi de Programmation Militaire ».
L’Europe avec NIS et NIS2 a une approche plus globale en laissant la partie liée à la sécurité nationale aux états, nous abordons NIS2 dans d’autres articles.
Trois exemples de position Zero-Trust étatiques : Royaume-Uni, Etats-Unis et France
Au Royaume-Uni, les documents les plus importants sont les « Data Strategy for Defence »[1] et « Digital Strategy for Defence »[2] avec des annexes détaillées comme le « Defensive Cyber Operations Programme » qui adressent notamment le besoin d’avoir une réponse globale en terme de cybersécurité n’excluant pas un accès plus important aux données du domaine militaire « à chaque instant et en tout lieu, dans les airs, sur terre ou sur mer, dans toutes bases mais aussi en télétravail ». La difficulté est résumée : la donnée est une ressource vitale pour la défense et doit donc être largement diffusée et dans le même temps, elle présente un haut niveau de confidentialité, favorisant la plus faible exposition.
La première brique qui fut posée au Royaume-Uni est la mise en œuvre d’une infrastructure backbone « secure by design ».Des fondements du Zero-Trust sont présents pour sa construction avec cette ligne directrice : « développer les contrôles de gestion des identités et des accès pour permettre aux bonnes personnes d’accéder aux bonnes données et rien d’autre », avec également une volonté de réhausser le niveau de sécurité des mots de passe « garder nos secrets secrets », tout ceci dans une approche agile : « essayer et tester les nouvelles solutions de sécurité à un stade précoce afin d’être à l’avant-garde ».
Une des particularités du milieu militaire est également rappelée : tout ceci doit pouvoir aussi opérer dans des environnements complexes (les opérations extérieures), ainsi à côté d’une brique technologique « Defensive Cyber Capability (DOC) Core », est documentée l’approche « Defense Cyber Opérations in Complexe Environments (DICE) ».
Un mot sur le télétravail. Cela peut surprendre de le voir associé au domaine militaire, pour autant, il est de plus en plus d’actualités dans le domaine de la défense pour une partie des collaborateurs : tous les métiers n’accèdent pas à des données confidentielles ou classifiées et par ailleurs, le sujet du recrutement au sein des armées est un enjeu fort, se priver définitivement d’un atout devient compliqué. Cela nécessite, en revanche, une rigueur absolue sur la mise en œuvre du Zero-Trust.
Aux Etats-Unis, à partir des décisions fédérales notamment portées par le National Defense Authorization Act, des directives sont édictées à partir de documents à portée stratégique, notamment le « 2023 cyber strategy of The Departement of Defense », classifié, pour autant, un résumé [3] donne la direction : bâtir une architecture Zero-Trust.
Ainsi, dès 2022, le Département de la Défense avait fixé ce cap avec des objectifs à atteindre en cinq ans sur le Zero-Trust avec une définition claire que l’on retrouve également dans les documents du National Institute of Standards and Technology (NIST) : « un ensemble de principes qui suppose essentiellement que les réseaux sont déjà compromis et exige que les organisations valident en permanence les utilisateurs, les appareils et les données. ». L’approche américaine est d’incarner cette menace en considérant que l’ennemi est dans la place et qu’il faut « le ralentir et l’endiguer », comme le décrivait Randy Resnick, le responsable du programme Zero Trust du Département de la Défense. L’ensemble est explicitement décrit dans des différents documents publics[4] [5]. Le style militaire s’impose pour résumer ce qu’est le Zero-Trust :
« Supposer un environnement hostile
Supposer une violation
Ne jamais faire confiance, toujours vérifier
Vérifier explicitement
Appliquer des analyses unifiées »
L’ensemble des mesures est explicitement présenté. Nous retrouvons les éléments fonctionnels qui sont au cœur d’une plate-forme comme cyberelements : « Conditional User Access, Multifactor Authentication, Privileged Access Management, Identity Federation and User Credentialing, Behavioral, Contextual ID, and Biometrics, Least Privileged Access, Continuous Authentication Integrated ICAM Platform » avec pour chaque partie, la définition précise des attendues.
En France, la Loi de Programmation Militaire a fixé relativement tôt (2014-2019) un horizon en renforçant la sécurité des systèmes d’information critiques pour la défense nationale avec des déclinaisons sur des secteurs dont spécifiquement les activités militaires de l’Etat. Dans les 50 mesures définies en février 2014 par le Ministère des Armées, il est évoqué une première base du Zero-Trust avec la nécessité d’une identité numérique pour le personnel de la défense. A partir de 2016, 20 règles[6] sont définies et déclinées et apportent des premières briques du Zero-Trust sans pour autant reprendre le terme. Il est ainsi mis en avant la nécessité d’une identité gérée dynamiquement (« L’opérateur désactive sans délai les comptes qui ne sont plus nécessaires. »), de l’importance des comptes à privilèges (« L’attribution des droits aux administrateurs respecte le principe du moindre privilège ») ou du cloisonnement (« Chaque SIIV (systèmes d’information d’importance vitale ) est cloisonné physiquement ou […] Seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité sont mises en place »). La Loi de Programme Militaire suivante (2019-2025) a renforcé les attributions de l’ANSSI ayant un ensemble de guides et de pratiques pour mettre en pratique les réglementations y compris sur les domaines clés du Zero-Trust.
Onpremise ou SaaS, la réponse Systancia pour le secteur de la défense
Nous remercions nos clients du domaine de la défense pour cette confiance bâtie autour de l’écoute, la disponibilité et l’innovation résolument tournée vers le Zero-Trust. Nous avons la possibilité d’être challengé sur des sujets exigeants où la cybersécurité est au cœur de la stratégie militaire, imposant des réponses nouvelles, en avance de phase par rapport à la sphère civile.
Réponses qui bénéficient à l’ensemble de nos clients, à travers une approche onpremise ou avec notre plate-forme SaaS cyberelements.
Il est facile de s’en convaincre, trois champs à remplir, trois minutes et vous avez entre les mains votre plate-forme de cybersécurité.
Références :
[1] https://assets.publishing.service.gov.uk/media/614deb7a8fa8f561075cae0b/Data_Strategy_for_Defence.pdf
[2] https://assets.publishing.service.gov.uk/media/60afae56d3bf7f435f43c7af/20210421_-_MOD_Digital_Strategy_-_Update_-_Final.pdf
[3] https://media.defense.gov/2023/Sep/12/2003299076/-1/-1/1/2023_DOD_Cyber_Strategy_Summary.PDF
[4] https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf
[5] https://dodcio.defense.gov/Portals/0/Documents/Library/ZeroTrustOverlays.pdf
[6] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033063035