Le guide de la sécurité des données « Zero Trust
Le guide de sécurité des données « Zero Trust » est un guide qui modifie notre approche de la gestion et de la sécurité des données. 70 contributeurs issus de plus de 30 agences fédérales ont collaboré à la création d’un guide complet qui fait le lien entre deux domaines historiquement cloisonnés, la gestion des données et la cybersécurité.
Historiquement, ces deux domaines ont parlé des langues différentes, travaillant souvent à contre-courant. Ce guide change la donne. Conçu pour les experts en cybersécurité et les professionnels des données, il élimine le jargon et permet une compréhension commune. Il s’agit d’un exemple rare d’accessibilité à des sujets complexes sans pour autant les simplifier.
Le guide met l’accent sur la compréhension et la protection des différents types de données, et c’est précisément sur ce point que la confiance zéro devrait se concentrer. Les étapes réalisables décrites aident les organisations à évaluer leur niveau de maturité, à identifier les lacunes et à tracer une feuille de route pour la mise en œuvre.
La personnalisation et la collaboration sont les piliers de la confiance zéro.
Une solution unique ne fonctionne pas dans le cadre de la confiance zéro. Les organisations sont trop diverses pour que des solutions à l’emporte-pièce soient possibles. Vous devez concevoir une stratégie de confiance zéro adaptée à votre mission unique.
Lou Eichenbaum, du ministère américain de l’intérieur, l’a bien compris. Il a créé une « communauté de pratique » pour s’assurer que chaque département, du Service des parcs nationaux à la gestion des ressources, a son mot à dire sur la manière dont la confiance zéro est mise en œuvre. Cette approche respecte les différentes missions de l’organisation.
Un plan universel pourrait aliéner des secteurs d’activité clés, ce qui entraînerait une résistance, voire un échec. La personnalisation est la clé pour maintenir l’engagement des parties prenantes et garantir le succès à long terme.
Pour réussir, vous devez obtenir l’adhésion des RH, des finances et de la direction. Il s’agit d’aligner tous les secteurs de votre organisation sur une vision commune de la sécurité.
Approches fondées sur le risque
Pour garder une longueur d’avance, les organisations doivent adopter une approche basée sur le risque. Les actions basées sur la conformité peuvent certes cocher les cases, mais elles n’empêcheront pas les mauvais acteurs d’entrer. La confiance zéro doit porter sur la compréhension et la gestion des risques. Cela signifie qu’il faut penser comme un adversaire, identifier les vulnérabilités et les traiter de manière proactive.
Les organisations passent de la stratégie et de la planification à l’intégration opérationnelle à grande échelle. C’est un signe clair que la confiance zéro arrive à maturité, mais il reste encore du travail à faire pour qu’elle soit harmonieuse et efficace.
Mises à jour régulières des lignes directrices sur la confiance zéro
Des mises à jour régulières ne sont pas négociables. Le guide doit s’adapter pour rester pertinent. Anne Klieve, du ministère des anciens combattants, a souligné l’importance d’intégrer des avancées telles que l’apprentissage automatique et d’aligner la gestion des données sur la sécurité.
Le chapitre 4, intitulé « Gérer les données », constitue une mise à jour particulièrement intéressante. Ce chapitre du guide explique comment préparer les données pour les modèles d’apprentissage automatique et comment utiliser la gestion des données pour prévenir les violations. Ces ajouts avant-gardistes permettront au guide de rester à la pointe de la cybersécurité.
Principaux enseignements
Le guide de sécurité des données « Zero Trust » est un nouveau mouvement. En mettant l’accent sur des stratégies réalisables, la personnalisation, l’intégration culturelle, la réflexion basée sur les risques et l’évolution constante, le guide donne aux organisations ce dont elles ont besoin pour s’attaquer de front aux défis modernes de la cybersécurité.
