Par Tim Bandos, vice-président de la cybersécurité chez Digital Guardian
Le NIST a publié de nouveaux outils de défense afin de protéger les informations sensibles et d’atténuer les attaques informatiques commanditées par des États.
Attaques coordonnées contre le secteur de la santé, piratage massif de la chaîne d’approvisionnement de SolarWinds, tentatives répétées de vol de propriétés financières et intellectuelles des États-Unis… Les pirates informatiques des États-nations ont été à l’origine d’une série d’attaques importantes au cours des dernières années.
Bien sûr, les pirates informatiques travaillant pour le compte d’un gouvernement étranger (en particulier la République populaire de Chine et la Russie) sont des adversaires connus depuis longtemps. Toutefois, ces derniers temps, la possibilité d’acheter des cyberoutils et la faiblesse des barrières à l’entrée ont entraîné des dégâts considérables et ont, par conséquent, modifié la place des attaquants des États-nations dans le paysage de la cybermenace.
Bien que certaines entités, comme les agences en charge des secrets commerciaux et des données confidentielles, aient mis en place des plans de bataille pour atténuer les piratages commandités par des États, toutes les organisations ne disposent pas forcément de ce type de plans.
Pour aider ces organisations à sécuriser leurs systèmes contre ces menaces avancées persistantes, le National Institute of Standards and Technology (NIST) a publié de nouveaux outils sous le nom de Special Publication 800-172.
Le document, Enhanced Security Requirements for Protecting Controlled Unclassified Information (Exigences de sécurité améliorées pour la protection des informations non classifiées contrôlées), est conçu pour aider à protéger les informations d’Etat sensibles sur des systèmes non étatiques ne comportant pas forcément des politiques de protection des données aussi rigides qu’un système national.
Le NIST donne quelques exemples de ce type de données. Elles englobent toute la gamme des informations sensibles sur les personnes, les technologies, l’innovation et la propriété intellectuelle ; des informations qui, si elles étaient compromises, pourraient avoir un impact sur l’économie et la sécurité du pays tout entier.
Les administrateurs, les DSI et les auditeurs qui supervisent les systèmes des administrations nationales et des collectivités locales, les universités et autres établissements d’enseignement supérieur, ainsi que les organismes de recherche indépendants tels que les groupes de réflexion (en fait, tout organisme qui travaille en lien avec des programmes d’Etat et pouvant être amené à analyser des données étatiques) devraient envisager d’examiner et de mettre en œuvre ces directives.
En plus de la SP 800-172, le NIST encourage les organisations à consulter la SP 800-171, publiée pour la première fois en février dernier, que la SP 800-172 vient compléter, pour plus de conseils sur l’atténuation des attaques.
La différence entre la SP 800-171 et la SP 800-172 est que cette dernière est conçue pour aider les administrateurs à approfondir les garanties mises en place dans le but d’assurer la confidentialité, l’intégrité et la disponibilité des données créées ou détenues par le gouvernement, les informations non classifiées techniquement contrôlées (également appelées CUI). La SP 800-171 est uniquement destinée à garantir la confidentialité de ces données.
Le dernier rapport comprend des exigences renforcées pour protéger la confidentialité, l’intégrité et la disponibilité des informations non classifiées contrôlées contre les menaces avancées persistantes : contrôle d’accès, sensibilisation et formation, réponse aux incidents, et maintenance d’une forme d’évaluation de la sécurité, par exemple des tests de pénétration ou des outils de balayage automatisés.
Toutes les directives du NIST ne s’appliqueront pas à une organisation. Les agences devront sélectionner une exigence de sécurité, effectuer les opérations d’affectation et de sélection requises, élaborer des directives de mise en œuvre et inclure cette trame d’exigences et de mise en œuvre dans les contrats étatiques en guise de démonstration de compétence. Les administrateurs voudront essentiellement parcourir le rapport, ligne par ligne, pour déterminer ce qui pourrait être bénéfique à leur organisation.
« Il est fort probable qu’une organisation qui applique ces directives ne souhaitera pas utiliser toutes les exigences de sécurité renforcées que nous proposons ici », a déclaré Ron Ross, ingénieur en science informatique et membre du NIST. « La décision de sélectionner un ensemble donné d’exigences de sécurité renforcées dépendra de votre mission et de vos besoins métiers ; elle sera ensuite guidée et informée par l’évaluation des risques en continu. »