Pour faciliter la transition des entreprises vers le zero trust, l’agence américaine pour la cybersécurité et la sécurité des infrastructures a mis à jour son modèle de maturité en y ajoutant une étape.
L’agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a publié la version 2 de son modèle de maturité zero trust (ZTMM), intégrant les recommandations issues des commentaires publics reçus sur la première mouture. « La CISA s’est attachée à guider les agences, qui se trouvent à différents stades de leur parcours, dans la mise en œuvre d’une architecture zero trust », a déclaré Chris Butera, directeur technique pour la cybersécurité à la Cisa. « En tant que feuille de route parmi d’autres, le modèle actualisé guidera les agences à travers un processus méthodique et une transition vers une plus grande maturité en matière de zero trust. Bien qu’il soit applicable aux agences civiles fédérales, toutes les organisations trouveront ce modèle intéressant à examiner et à utiliser pour mettre en œuvre leur propre architecture ». L’agence a publié la première version de son modèle ZTMM en septembre 2021, conformément au décret plus large sur la cybersécurité publié par le président Biden en mai 2021. Celui-ci a défini une série d’initiatives et d’objectifs en matière de cybersécurité, notamment en incitant les agences du gouvernement fédéral à se rapprocher des architectures zero trust. En janvier 2022, l’OMB a également publié une stratégie fédérale ZTA dans le cadre du décret exécutif, exigeant des agences qu’elles respectent des normes et des objectifs spécifiques en matière de cybersécurité d’ici à la fin de l’année 2024.
Le zero trust est à la mode depuis quelques années dans le domaine de la gestion des risques liés à la cybersécurité. Ce modèle englobe de nombreux concepts qui sont souvent difficiles à saisir et encore plus difficiles à mettre en œuvre. La Cisa le définit comme « une approche dans laquelle l’accès aux données, aux réseaux et à l’infrastructure est limité au strict nécessaire et où la légitimité de cet accès doit être vérifiée en permanence ». Selon le National Institute of Standards and Technology (NIST), le ZTA est le programme de cybersécurité d’une entreprise qui utilise les concepts zero trust et englobe les relations entre les composants, la planification des workflows et les politiques d’accès. Par conséquent, une entreprise zero trust comprend l’infrastructure de réseau (physique et virtuelle) et les politiques opérationnelles. Theresa Payton, CEO de Fortalice, souligne la difficulté d’adoption pour les entreprises des approches permettant d’atteindre les objectifs des stratégies et modèles zero trust. Même la terminologie ZTA ressemble à une sorte de grand puzzle pour lequel il suffit de suivre les instructions, de tout brancher pour l’obtenir mais tout n’est pas si simple, explique-t-elle. « Le plus grand défi que je vois est un manque d’appréciation du fait qu’il ne s’agit pas vraiment d’un long fleuve tranquille. J’entends les gens décrire cela comme une simple routine, mais il s’agit en fait d’un choix de vie ».
L’étape cruciale de l’initialisation du zero trust
Le modèle ZTMM de la Cisa comprend cinq piliers : identité, terminaux, réseaux, applications et workflows, ainsi que les données. Elle s’articule aussi au travers de trois capacités transversales : la visibilité et l’analyse, l’automatisation et l’orchestration, ainsi que la gouvernance. Selon le modèle actualisé, il existe quatre stades de maturité : traditionnel, initial, avancé et optimal. « Les trois étapes du parcours ZTM qui permettent de passer du stade traditionnel au stade initial, avancé et optimal faciliteront la mise en œuvre de la ZTA au niveau fédéral. Chaque étape suivante exige des niveaux de protection, de détail et de complexité plus élevés pour être adoptée », a déclaré l’agence. L’ajout de la phase initiale est le changement le plus important entre le modèle ZTMM original et la version actualisée. Selon la Cisa, cette étape s’adresse aux entreprises qui commencent tout juste à « automatiser l’attribution des attributs et la configuration des cycles de vie, les décisions politiques et l’application, et les solutions initiales inter-piliers avec l’intégration de systèmes externes ». Theresa Payton félicite la Cisa d’avoir ajouté la phase initiale au modèle de maturité zero trust. Elle apporte ainsi un point de départ aux personnes qui ne savent pas trop par où commencer. Le nouveau modèle fournit « quelques éléments fondamentaux que vous pouvez mettre en œuvre et qui vous aideront à atteindre les principes du ZTA », dit-elle.
« Ce qu’ils ont fait, c’est qu’ils ont pris les plus de 300 commentaires qu’ils ont reçus des agences et des consultants, des vendeurs, de la communauté tout simplement, qui ont commenté le modèle précédent », explique Eric Noonan, CEO de CyberSheath. « Ils ont ensuite créé un produit qui intègre les commentaires en ajoutant la phase initiale car ils ont reconnu que passer de la première phase, qui est traditionnelle, à la phase suivante, qui est avancée, constituait un trop grand écart. Je pense donc qu’ils ont mis davantage l’accent sur le fait qu’il ne s’agit pas d’un interrupteur ». L’ajout de la phase initiale montre que le passage au zero trust n’est pas une ligne droite, explique M. Noonan. « Ce n’est en aucun cas une démarche linéaire. L’étape initiale le reconnaît et donne aux entreprises qui souhaitent adopter ce modèle un moyen plus pratique et plus réalisable d’y parvenir d’une manière plus mesurable, plutôt que de passer simplement de zero à cent ».
L’absence de prise en compte de l’IA en question
La Cisa a mis un peu plus d’un an et demi pour mettre à jour son ZTMM initial, ce qui, selon madame Payton, est un délai trop long compte tenu du rythme de l’évolution technologique, en particulier des progrès rapides en matière d’intelligence artificielle. Elle évoque une situation récente dans laquelle des employés de Samsung auraient divulgué des informations sensibles et confidentielles de l’entreprise à la plateforme ChatGPT d’Open AI. « J’ai été un peu surprise que la loi n’aborde pas l’IA, et cela montre à quel point elle peut être difficile, donc ce n’est pas une critique de la Cisa. Mais cela montre à quel point il peut être difficile de suivre l’innovation et la transformation technologiques » La ZTMM ne traite pas de l’intelligence artificielle, de l’apprentissage automatique ou de l’IA générative. Cela n’y figure pas.
Theresa Payton souhaiterait que l’agence soit autorisée à mettre à jour plus rapidement son modèle à l’avenir. « J’aimerais que la Cisa ait l’autorité et les garde-fous nécessaires pour agir plus rapidement. De nouvelles technologies sont introduites. Il faut leur permettre de mettre à jour les modèles, les orientations, les cadres et les politiques pour suivre le rythme du marché. Eric Noonan, quant à lui, a un autre point de vue sur le moment choisi pour cette mise à jour. « Je pense qu’ils ont fait d’énormes progrès », dit-il. « La deuxième itération du modèle en l’espace de deux ans témoigne de l’importance accordée par le gouvernement fédéral à cette question, ainsi que de l’importance et des progrès réalisés en matière de zero trust ».
L’administration Biden a publié un décret interdisant au gouvernement fédéral d’utiliser des logiciels espions d’éditeurs étrangers. Plusieurs réserves ont cependant été émises.
L’administration Biden a envoyé un signal fort aux fournisseurs de logiciels espions en publiant un décret (executive order) interdisant aux agences fédérales d’utiliser ceux qui présentent des risques importants en matière de contre-espionnage ou de sécurité pour le gouvernement des États-Unis. Les solutions visées par le décret sont principalement des logiciels espions conçus pour suivre et collecter des données à partir de téléphones portables, qui peuvent être facilement installés en un ou plusieurs clics sur des liens spécifiques. Au moins 50 fonctionnaires gouvernementaux sont soupçonnés – ou ont été – ciblés par ce type de logiciel invasifs conçus pour pirater des téléphones portables, selon des sources proches du dossier relayées dans la presse, sans préciser qui avait été ciblé ni où. Leur prolifération « pose des risques distincts et croissants en matière de contre-espionnage et de sécurité pour les États-Unis, notamment pour la sûreté et la sécurité du personnel du gouvernement américain et de leurs familles », a déclaré la Maison-Blanche dans une note.
Plus important encore, les logiciels espions fabriqués par une multitude d’entreprises, principalement israéliennes ou appartenant à d’anciens agents israéliens, dont le célèbre groupe NSO, ont été utilisés par plusieurs gouvernements étrangers pour cibler des adversaires politiques, des militants des droits de l’homme et des journalistes afin d’étouffer l’opposition politique. Par exemple, l’association journalistique à but non lucratif Forbidden Stories a coordonné une enquête de plusieurs mois intitulée Pegasus Project, du nom du tristement célèbre logiciel d’espionnage mobile éponyme de NSO. Cette enquête a révélé l’existence de 50 000 victimes potentielles, parmi lesquelles des journalistes, des défenseurs des droits de l’homme, des avocats, des hommes politiques, des universitaires, des hommes d’affaires et même des membres de familles royales et des chefs d’État, dont Emmanuel Macron. « En outre, un nombre croissant de gouvernements étrangers ont déployé cette technologie pour faciliter la répression et permettre des violations des droits de l’homme, notamment pour intimider les opposants politiques et réduire la dissidence, limiter la liberté d’expression et surveiller et cibler les activistes et les journalistes », selon la note de la Maison Blanche. « L’utilisation abusive de ces puissants outils de surveillance ne s’est pas limitée aux régimes autoritaires. Les gouvernements démocratiques ont également dû faire face à des révélations selon lesquelles des acteurs de leurs systèmes ont utilisé des logiciels espions pour cibler leurs citoyens sans l’autorisation légale, les garanties et le contrôle adéquats ».
Pas d’interdiction générale
Bien que le décret interdise aux ministères et agences fédéraux d’utiliser des logiciels espions étrangers, ces derniers doivent répondre à une série de critères indiquant qu’ils présentent « des risques importants pour les États-Unis en matière de contre-espionnage ou de sécurité ». Parmi les facteurs énoncés dans le texte réglementaire débouchant sur l’interdiction, on peut citer le fait qu’ils ont été utilisés « pour obtenir ou tenter d’obtenir l’accès à des ordinateurs du gouvernement des États-Unis ou à des ordinateurs du personnel du gouvernement des États-Unis sans autorisation » ou bien de manière inappropriée par un gouvernement étranger. Un autre facteur qui entre en ligne de compte dans l’interdiction est la question de savoir si une entité qui fournit des spywares à des gouvernements a des antécédents d’« actes systématiques de répression politique », conformément aux conclusions du Département d’État. En outre, l’administration peut accorder à une agence une dérogation ne dépassant pas un an « si cette dérogation est nécessaire en raison de circonstances extraordinaires et qu’il n’existe pas d’autre solution réalisable pour faire face à ces circonstances ». Les dérogations exigent des fonctionnaires de très haut niveau qu’ils fassent preuve de diligence raisonnable en fonction des facteurs énoncés dans le décret et qu’ils fassent connaître les raisons de ces dérogations directement au président par l’intermédiaire de l’assistant du président pour les affaires de sécurité nationale (APNSA).
Le texte permettra également aux agences d’acquérir des logiciels espions à des fins de test, de recherche, d’analyse, de cybersécurité ou de développement de contre-mesures pour le contre-espionnage ou les risques de sécurité, ou encore d’enquête criminelle découlant de la vente ou de l’utilisation criminelle du logiciel espion. Enfin, cette décision ne s’applique qu’aux logiciels espions commerciaux provenant d’entités étrangères, et non aux solutions développées au niveau national. On ignore dans quelle mesure les services de renseignement et les services répressifs américains, tels que la NSA, la CIA ou le FBI, ont créé des versions de logiciels espions mobiles comparables.
Un impact encore trouble
On ne sait pas non plus combien d’agences gouvernementales américaines utilisent déjà spywares interdits par le décret. Le directeur du FBI, Chris Wray, a déclaré que son agence avait acheté une licence pour Pegasus mais uniquement à des fins de recherche et de développement. Cependant, une enquête du New York Times a révélé que les responsables du FBI ont fait pression pour déployer les outils de piratage à la fin de 2020 et au premier semestre de 2021. En 2018, la CIA a organisé et payé l’acquisition de Pegasus par le gouvernement de Djibouti pour aider l’allié américain à lutter contre le terrorisme. Enfin, la DEA a déployé un logiciel espion appelé Graphite, fabriqué par l’entreprise israélienne Paragon. En outre, le décret d’application ne s’applique pas aux forces de l’ordre locales et étatiques. Par le passé, une société appelée Westbridge Technologies, se présentant comme la « branche nord-américaine » de NSO, a proposé Pegasus de NSO à des services de police locaux, dont celui de San Diego.
Le décret sur les logiciels espions a été accueilli favorablement par les défenseurs des droits de l’homme et les législateurs. John Scott-Railton, chercheur au Citizen Lab de l’université de Toronto, a déclaré que les États-Unis étaient un marché convoité par les éditeurs de spywares et que l’administration Biden établissait une « norme mondiale » avec cette dernière mesure. Jim Himes, principal représentant démocrate à la commission du renseignement de la Chambre des représentants, a déclaré que cette nouvelle ordonnance devrait être suivie par d’autres démocraties afin de prendre des mesures similaires contre les logiciels espions. « Il est appréciable de voir le gouvernement américain mettre les pieds dans le plat. Les États-Unis montrent l’exemple. Je pense que le signal le plus important est donné aux entreprises elles-mêmes que le gouvernement américain n’est peut-être pas la solution de facilité que vous espériez pour vendre votre produit à grande échelle », indique Betsy Cooper, directrice du Tech Policy Hub de l’Aspen Institute. « Je pense donc que le message le plus important s’adresse aux entreprises elles-mêmes, et pas nécessairement aux alliés qui pourraient être d’accord avec nous. Et si les États-Unis peuvent montrer l’exemple en disant qu’ils n’achèteront pas ces produits dans la grande majorité des cas, on peut espérer que le marché des logiciels espion diminuera avec le temps ».
Le programme pilote de l’agence américaine de la sécurité des systèmes d’information doit aider les entreprises à identifier les vulnérabilités qui peuvent déboucher par des attaques ransomware.
La semaine dernière, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a annoncé le lancement du programme Ransomware Vulnerability Warning Pilot (RVWP) pour « identifier de manière proactive les systèmes d’information qui contiennent des vulnérabilités de sécurité couramment associées aux attaques par ransomwares ». Une fois que le programme aura identifié les systèmes vulnérables, la CISA les notifiera pour qu’ils puissent atténuer les défauts avant que les attaquants ne causent trop de dégâts. L’agence indique qu’elle recherchera les systèmes concernés en utilisant les services, les sources de données, les technologies et les autorités existantes, y compris son analyse de vulnérabilités. La CISA a lancé le RVWP en notifiant 93 entreprises identifiées comme exécutant des instances Microsoft Exchange Service avec la faille appelée ProxyNotShell largement exploitée par les acteurs du ransomware. L’agence a déclaré que ce cycle a démontré « l’efficacité de ce modèle pour réduire les risques en temps opportun alors que nous étendons davantage le RVWP à des vulnérabilités et des organisations supplémentaires ».
« Le RVWP permettra à CISA de fournir des informations opportunes et exploitables qui réduiront directement la prévalence des incidents de ransomware dommageables affectant les organisations américaines. Nous encourageons chaque organisation à atténuer de toute urgence les vulnérabilités identifiées par ce programme et à adopter des mesures de sécurité solides conformes aux directives du gouvernement américain sur StopRansomware.gov », a déclaré à ce sujet Eric Goldstein, directeur adjoint exécutif pour la cybersécurité du CISA.
Un pilote démarré avec ProxyNotShell
Au-delà de l’annonce officielle, la CISA a donné peu de détails sur le programme RVWP. Une question est de savoir pourquoi l’organisme a lancé le programme avec la vulnérabilité ProxyNotShell. ProxyNotShell est la dernière d’une série de failles exploitées par le cybergang Hafnium soutenu par la Chine ciblant les serveurs Microsoft Exchange. Fin septembre, deux failles zero day (CVE-2022-41040, CVE-2022-41082) sont devenues collectivement connues sous le nom de ProxyNotShell. Microsoft a publié des correctifs pour ProxyNotShell en novembre. « Je vous garantis que la raison la plus probable est d’avoir eu un avertissement ou préavis qu’il était utilisé », a déclaré à notre confrère CSO Andrew Morris, fondateur et CEO de GreyNoise. « Cette vulnérabilité était activement utilisée par un acteur malveillant pour parvenir à de nombreux compromis et espionner des personnes et des entreprises américaines. Parce que la CISA travaille main dans la main avec la communauté du renseignement des États-Unis, la chose la plus évidente et la plus probable serait simplement qu’ils avaient en tête que c’est une vulnérabilité que certains acteurs étatiques utilisent avec un succès fou ».
Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré de son côté que son entreprise avait vu plusieurs acteurs de ransomware profiter de ProxyNotShell au cours des derniers mois. « Je dirais que vers la seconde moitié de l’année dernière, et au début de cette année, le groupe de rançongiciels PLAY était le plus remarquable pour son utilisation de ProxyNotShell car ils ont réussi à trouver un moyen de cibler les recommandations d’atténuation que Microsoft avait initialement fournies lorsque des vulnérabilités ont été révélées ». Le cybergang par ransomware PLAY est un acteur menaçant relativement récent. Les derniers incidents dont le groupe s’attribue le mérite sont des attaques dévastatrices contre la ville d’Oakland, la chaîne allemande H-Hotels, la ville belge d’Anvers, le pouvoir judiciaire argentin de Córdoba et d’autres cibles de premier plan.
Les failles plus anciennes devraient être les prochaines pour RVWP
ProxyNotShell a aussi été découvert récemment, mais certains experts pensent que la CISA serait mieux placée pour commencer à rechercher les vulnérabilités plus anciennes qui constituent la base de la plupart des attaques par ransomware. « La majorité des rançongiciels ciblent des vulnérabilités d’au moins un an, voire deux ans », a déclaré Jonathan Trull, vice président senior de l’architecture des solutions de sécurité et CISO chez Qualys. Et ce dernier d’ajouter que les recherches de Qualys montrent que les 300 failles anciennes et non corrigées sont ce que les attaquants de ransomwares cherchent à exploiter à maintes reprises. « Nous savons de très près, grâce à nos recherches, qu’il s’agit d’une poignée de vulnérabilités identiques dans chaque kit de ransomware », dit-il. « J’espère que l’agence ne se concentrera pas uniquement sur les derniers et les meilleurs ». Satnam Narang estime que la CISA se concentrera sur les applications destinées au public dans sa prochaine initiative RVWP. « Je pense que le programme se concentrera en grande partie sur l’identification de ces applications publiques vulnérables car, le plus souvent, les groupes de ransomwares recherchent des applications publiques contenant des vulnérabilités ». Satnam Narang souligne le pic des groupes de rançongiciels ciblant les VPN SSL au début de la pandémie comme l’une de ces cibles publiques. « Nous avons vu des groupes de ransomwares cibler ces VPN SSL. Nous en parlons longuement depuis des années maintenant. Nous voyons toujours ceux qui sont exploités par des groupes de ransomwares ».
La CISA indique qu’elle avertira les entités d’infrastructure critiques dans le cadre des efforts d’analyse RVWP qu’elles souffrent de vulnérabilités pouvant conduire à des attaques de ransomwares. Le programme profitera probablement le plus aux petites organisations, étant donné que les grandes organisations disposent généralement de plus de personnel et de ressources pour remédier ou gérer les vulnérabilités. « Je soupçonne que de nombreuses petites et moyennes entreprises en bénéficieront probablement, car souvent ces sociétés ne disposent pas du budget ou du personnel de sécurité requis », avance Satnam Narang. « Ils peuvent externaliser leur sécurité pour gérer les fournisseurs de services. Mais, même dans ce cas, je pense qu’ils seront probablement les plus grands bénéficiaires de ce type de programme ». Les boutiques et les petites agences gouvernementales ont besoin de ce type de service, avance Andrew Morris. « C’est là que leur impact sera le plus important. Ce sont eux qui en ont le plus besoin ».
Un programme accueilli les bras ouverts
La réaction au RVWP semble être uniformément positive. « J’ai dirigé une assez grande équipe de réponse aux incidents pour Microsoft à l’époque », déclare Jonathan Trull. « De tous les incidents que nous avons rencontrés, probablement 90 à 95 % étaient liés à des ransomwares. Donc, je pense qu’ayant à répondre à ces incidents à travers le monde et voyant leur impact, je suis ravi de voir cette initiative démarrer […] Je pense que c’est une initiative fantastique compte tenu du succès des groupes de rançongiciels à s’introduire dans des organisations ciblant des vulnérabilités connues », déclare Satnam Narang. Et Andrew Morris d’expliquer : « Mon impression générale est que c’est une très bonne chose. C’est vraiment nécessaire, et c’est un grand pas dans la bonne direction pour protéger les entreprises américaines contre les ransomwares et protéger les Américains ».