Français 
English (UK) 
Русский 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Español 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Polski 
Українська 
Deutsch 
简体中文 
Slovenčina 
3 Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">
Recommendation: Mettre en place un registre des risques inter-agences pour identifier l'exposition à travers les systèmes publics connectés, puis harmoniser les politiques afin d'améliorer la protection et de simplifier les services gérés.
Action 1: Mettre en place et suivre une boucle unifiée de partage d'informations entre les agences et les partenaires privés afin d'identifier de nombreux risques, notamment les crimes et l'exposition de données sensibles.
Action 2 : Déployez une approche de protection basée sur les produits et des services gérés, ancrés par des politiques qui vous permettent de suivre les coûts et les avantages sur l'ensemble des systèmes accessibles au public.
Action 3 : Mettre à jour les politiques d'achat et les politiques internes avec des contrôles normalisés, exiger des agences qu'elles signalent les risques et incidents en cours, puis appliquer les informations générales pour éclairer les budgets et les mises à jour des programmes pour les agences elles-mêmes.
Cadre pratique de protection des données pour les infrastructures critiques
Mettre en œuvre un programme dédié à la protection des données pour les réseaux de services essentiels, en appliquant une classification formelle des données et une surveillance continue pour faire face aux risques croissants et lutter contre les intrusions persistantes.
Comprendre le paysage des menaces en cartographiant les actifs, les flux de données et les parcours utilisateurs dans le cyberespace. Conformément à la CISA, aligner la conception des contrôles sur ceux qui exploitent, utilisent ou dépendent de ces réseaux, et assurer la continuité en appliquant la segmentation et l'accès au moindre privilège.
Adoptez une approche de défense en profondeur : identifiez les données nécessitant une protection, chiffrez les données au repos et en transit, et gérez les clés via des processus dédiés. Tirez parti de l’authentification multifacteur (MFA), des contrôles d’accès précis et des examens d’accès trimestriels, tout en maintenant une position forte aux périphéries du réseau et sur les points de terminaison, y compris les services de santé et autres fournisseurs.
Établir des rituels clairs de gestion et de signalement des incidents : définir des manuels d'exécution, mener des exercices de simulation trimestriels et signaler rapidement les incidents aux entités concernées afin de réduire le temps de latence et d'empêcher les compromissions secondaires. Maintenir une surveillance 24h/24 et 7j/7 et un confinement rapide pour l'activité du cyberespace en temps réel.
| Control area | But | Propriétaire / entité responsable | Métriques |
|---|---|---|---|
| Classification et étiquetage des données | Identifier les données sensibles et faire appliquer les règles de gestion | Gouvernance des TI / des données | Précision > 95 %; revues trimestrielles |
| Gestion des identités et des accès (MFA, RBAC) | Limiter l'accès aux données sensibles | Équipe IAM | MFA pour les administrateurs ; principe du moindre privilège ; audits d'accès annuels. |
| Segmentation réseau / Confiance zéro | Contenir les brèches et maîtriser les déplacements latéraux | Architecture de sécurité | Couverture de la micro-segmentation > 90 %; simuler des violations trimestriellement |
| Surveillance et journalisation | Détectez rapidement les incidents et retracez les activités | Centre des opérations de sécurité | Couverture 24h/24, 7j/7 ; MTTD < 15 minutes ; conservation des journaux pendant 90 jours |
| Sauvegarde et récupération | Maintenir la continuité et la récupérabilité | Équipe de sauvegarde et de résilience | sauvegardes quotidiennes ; RPO 4 heures ; RTO 8 heures |
| Partage de renseignements sur les menaces | Comprendre les schémas et indicateurs cibles émergents | Renseignement sur les menaces / Liaison gouvernementale | rapports mensuels ; partager les indicateurs avec les entités |
Établir une base de référence de protection des données basée sur les risques pour les réseaux OT et IT
Bien qu'il existe une urgence, la mise en œuvre de cette base de référence est difficile mais nécessaire. Une base de référence unique à l'échelle de l'organisation consolide les inventaires d'actifs OT et IT et les flux de données en une seule vue. Ce fait éclaire la stratégie d'un responsable pour protéger les données vitales et réduire l'exposition dans les secteurs de l'énergie et de l'industrie. La base de référence doit être exploitable et réalisable dans un délai de 60 jours, avec un ordre de priorité clair pour les catégories de données et les flux. Le plan aide les gestionnaires à comprendre les points d'exposition et la valeur de la protection des données.
La direction de l'agence devrait commander une norme nationale qui généralise une base de référence axée sur les risques pour les réseaux connectés et les effectifs. Le cadre doit être mesurable, conforme à la conformité existante et mis à jour trimestriellement pour refléter les incidents réels et les menaces croissantes. La criminalité numérique a fortement augmenté, soulignant la nécessité d'une base de référence formelle. L'identification des actifs de grande valeur et des flux de données doit être effectuée par les propriétaires identifiés, avec la possibilité d'intégrer rapidement les mesures correctives dans le plan d'exécution. Cela garantit que les risques qui ont été identifiés sont pris en compte dans la base de référence.
Les actions clés comprennent : identifier les actifs et les flux de données pour combler les lacunes ; déplacer la segmentation entre OT et IT lorsque cela est faisable ; appliquer le principe du moindre privilège pour les gestionnaires et les ingénieurs ; exiger l'authentification multifactorielle pour les comptes d'administrateur ; chiffrer les données sensibles au repos et en transit ; mettre en œuvre un cycle de correctifs et de micrologiciels de 30 jours pour les éléments présentant un risque élevé ; mener des exercices trimestriels pour tester la réponse ; établir un manuel de réponse aux incidents. Cette démarche réduit l'exposition et rend l'organisation plus résistante aux attaques.
Pour évaluer les progrès, adoptez un tableau de bord factuel : le pourcentage d'appareils connectés avec le firmware actuel, le pourcentage de flux de données classifiés, le délai de confinement des incidents et le délai moyen de reprise. Les incidents réels survenus au cours de l'année écoulée montrent une activité de menace croissante sur l'ensemble du réseau, en particulier là où la sensibilisation du personnel est faible. Lorsque les contrôles sont appliqués de manière disparate sur les sites sans alignement, le confinement devient plus lent. Une tendance générale montre que les organisations dotées d'une base de référence claire sont confrontées à moins de violations et à une reprise plus rapide par rapport à leurs pairs du secteur. Ce schéma confirme que la gouvernance et la routine de base sont cruciales.
Surveiller et vérifier en continu les contrôles identifiés ; la commission peut exiger des audits trimestriels, avec un ensemble de données nationales pour comparer les performances dans l'ensemble du secteur. Dans la pratique, un réseau bien géré et connecté évolue vers une posture résiliente, même face à des acteurs de la menace sophistiqués. Globalement, la base de référence est essentielle pour une gestion cohérente des risques et aide le personnel à comprendre le rôle de la protection des données dans le travail quotidien.
Imposer le chiffrement, la gestion des clés et la minimisation des données dans tous les systèmes critiques
Exiger le chiffrement par défaut des données au repos et en transit, déployer une gestion centralisée des clés et mettre en œuvre une minimisation automatisée des données sur les actifs essentiels afin de prévenir la perte de données et de limiter l'exposition.
-
Chiffrement et gouvernance des clés sur les actifs essentiels :
- Chiffrez les données au repos et en transit par défaut, en utilisant des modules cryptographiques validés FIPS ; centralisez le matériel de clé dans un module de sécurité matériel (HSM) ou un KMS cloud avec rotation automatisée et contrôles d'accès stricts. Séparez les tâches afin qu'aucun rôle unique ne puisse à la fois accéder aux données et contrôler les clés ; appliquez des pistes d'audit immuables pour prendre en charge les analyses d'incidents. Incluez la mise en séquestre des clés lorsque cela est nécessaire pour éviter la perte et permettre la récupération. Tirez parti de votre pile technologique pour automatiser l'application à travers tous les référentiels et communications ; krishnan note que le contrôle centralisé et la validation régulière des implémentations cryptographiques renforcent la résilience et aident à identifier les faiblesses que les pirates pourraient exploiter.
-
Minimisation des données et flux de données contrôlés :
- Documenter les types de données collectées et justifier leur nécessité pour la prestation de services ; classifier les données et appliquer des limites de conservation ; anonymiser ou pseudonymiser lorsque cela est possible ; automatiser la purge des enregistrements obsolètes après des périodes définies. Limiter le partage aux partenaires nécessaires au sein de la chaîne d'approvisionnement et exiger un chiffrement en transit pour les transferts ; limiter les données relatives aux personnes concernées au minimum requis et adapter les politiques de traitement aux besoins des secteurs de la santé et autres. Démontrer l'importance pour les économies et tirer parti de cette approche pour atteindre certains objectifs politiques tout en réduisant l'exposition.
-
Gouvernance, supervision et réponse aux incidents :
- Établir une commission inter-agences pour définir les rôles et les responsabilités ; harmoniser l'application des règles avec les politiques dans toutes les économies et tous les secteurs, y compris les autres ; intégrer le renseignement sur les menaces croissantes et le ciblage par les pirates informatiques ; assurer la gouvernance dans le cyberespace et dans la santé ainsi que dans d'autres services essentiels ; suivre le rythme de l'évolution des risques et ouvrir la voie avec des manuels d'exercices et des exercices de gestion des incidents. Consigner les mesures prises et appliquer les leçons tirées pour combler rapidement les lacunes, démontrant ainsi la valeur d'un leadership plus fort.
Appliquez un accès Zero Trust pour la maintenance à distance et les connexions des fournisseurs
Adoptez un modèle d'accès « zero trust » pour la maintenance à distance et les connexions des fournisseurs, exigeant des identifiants à durée de vie limitée, des contrôles de posture des appareils et une vérification continue de la session pour chaque interaction. Cette approche renforce la résilience de l'entreprise en garantissant des identités authentiques, un accès contrôlé et une activité auditable dans tous les systèmes.
- Vérification de l'identité et des appareils : Imposer une authentification basée sur des certificats et l'AMF pour chaque fournisseur et technicien ; intégrer avec un fournisseur d'identité unique ; exiger des contrôles de posture continus à partir des appareils enregistrés et acheminer les journaux vers un entrepôt de données centralisé ; les politiques doivent être revues régulièrement pour confirmer leur alignement avec l'appétit pour le risque et les attentes en matière de rôle.
- Portée d'accès et privilège minimum : Assigner chaque tâche du fournisseur à un portefeuille de systèmes défini ; appliquer le contrôle d'accès basé sur les rôles et les sessions limitées dans le temps ; limiter les commandes et l'exposition aux données à ce qui est strictement nécessaire ; ceci réduit les impacts significatifs tout en préservant l'agilité pour les besoins de l'entreprise.
- Connexions médiatisées et contrôle de session : tout accès à distance aux systèmes centraux doit passer par une passerelle sécurisée ou un serveur bastion avec TLS mutuel ; bloquer les connexions directes des fournisseurs ; imposer des limites de session granulaires et une terminaison automatique une fois la tâche terminée ; suivre les actions dans un journal immuable.
- Surveillance, suivi des données et audit : Activer la surveillance continue des sessions ; suivre les mouvements de données et les modifications de configuration ; conserver une ventilation vérifiable des actions à des fins d'examen ; définir des alertes en temps quasi réel en cas de comportement anormal ; s'assurer que les données actuelles éclairent les décisions en matière de risque.
- Gestion du cycle de vie, de l’état de santé et du développement de la technologie : Tenir un inventaire à jour des actifs et des portefeuilles de fournisseurs ; exiger que les modifications apportées aux projets en développement soient testées dans un environnement contrôlé avant d’être déployées sur les systèmes de survie ; surveiller l’état des systèmes et automatiser la correction dans la mesure du possible.
- Gouvernance, supervision et amélioration continue : S'aligner sur les priorités de l'entreprise ; la supervision des équipes informatiques des arrondissements et des agences devrait faire partie de l'examen des politiques ; améliorer continuellement les techniques et les politiques ; suivre les indicateurs de performance et l'importance de ces contrôles pour l'ensemble du portefeuille technologique ; ce cadre devrait aider ce portefeuille à rester résilient à mesure qu'il se développe.
Segmenter les réseaux et mettre en œuvre une surveillance continue avec des alertes en temps réel
Mettez en œuvre une topologie segmentée sur votre réseau régional et déployez des alertes continues en temps réel dans une console centralisée et gérée. Cette approche réduira l'exposition en maintenant les services dans des zones isolées et en appliquant des contrôles d'accès dynamiques. Utilisez un plan de gestion unique pour coordonner les alertes, les changements de politique et les manuels de réponse, afin que votre équipe puisse agir rapidement.
Commencez par une carte régionale de l'emplacement de vos actifs et identifiez les services accessibles au public. Pour chaque région, cartographiez l'exposition et l'importance des actifs. Pour chaque zone, désignez un fournisseur de confiance et mettez en œuvre des contrôles stricts. Intégrez du renseignement sur les menaces pour affiner la détection et surveillez les indicateurs basés sur les schémas factuels récents depuis les dernières élections. Conservez une multitude d'incidents et de leçons apprises pour vous adapter rapidement.
Assurer la continuité des services grâce à des frontières contrôlées : appelées micro-segmentation et cadres de confiance zéro ; mettre en œuvre un accès limité en puissance. Utiliser une pile de sécurité gérée prenant en charge les notifications en temps réel, l'automatisation pour le confinement et un plan de changements continus. L'objectif est d'empêcher une seule attaque de se propager à travers de nombreuses régions et services, en cas de défaillance du confinement.
D'un point de vue national, s'aligner sur un plan qui couvre la planification essentielle concernant la chaîne d'approvisionnement, le risque fournisseur et la défense pendant les périodes de fortes tensions, comme les élections. Les équipes de sécurité se sont concentrées sur le renseignement et doivent continuer à le privilégier, et adapter leurs tactiques au paysage des menaces là où les pirates ciblent actuellement les actifs. Insister sur le fait que la plupart des intrusions commencent par des services exposés et des configurations faibles ; combler ces lacunes en priorité.
Pour quantifier les progrès, surveillez les niveaux d'exposition, le temps de détection et le temps de confinement. Utilisez des tableaux de bord régionaux et continuez d'affiner les tactiques en fonction du renseignement et des faits. Conservez un grand nombre de manuels éprouvés depuis les débuts, y compris les contributions de Dell et d'autres fournisseurs. Préparez-vous à la prochaine attaque et ajustez la segmentation en conséquence. Partout dans le monde, l'adoption de ces pratiques permet de maintenir l'alimentation et les services connectés.
Élaborez des manuels d'intervention en cas d'incident, de sauvegarde des données et de reprise après sinistre, avec des exercices pratiques
Identifier les actifs les plus importants dans les opérations propres à chaque région et désigner un responsable pour des domaines tels que les données, le réseau et les systèmes de santé. Créer une équipe d'agence dédiée pour mener les activités de réponse aux incidents, de sauvegarde des données et de reprise après sinistre, avec une stratégie compréhensible par les différentes unités organisationnelles. Cette approche aide les gouvernements à définir des normes et des actions ciblées afin que le programme puisse combattre les menaces lorsqu'elles apparaissent. Juste assez de procédures pour éviter de surcharger les équipes.
Élaborer un plan de sauvegarde des données qui couvre la portée, la cadence, le chiffrement, les copies hors site et les contrôles d'intégrité. Choisir un produit avec versionnage et isolation "air-gap"; tester la restauration mensuellement et documenter les résultats dans un dépôt centralisé pour revue de sécurité. Programmer des sauvegardes automatisées pour qu'elles s'exécutent intégralement, avec des alertes en cas d'échec d'un test de restauration, et comprendre l'état de santé de chaque niveau de données.
Élaborer un plan de reprise après sinistre avec des objectifs clairs de RTO et de RPO pour les services essentiels. Cartographier les dépendances du réseau et identifier les séquences de reprise clés, en priorisant les différentes unités organisationnelles et régions. Utiliser des procédures normalisées pour s'assurer que les étapes de reprise sont reproductibles, évolutives et conformes aux normes, aux politiques et aux directives de l'agence. Former les équipes à comprendre comment exécuter le plan lors d'un exercice et à documenter les lacunes.
Programme d'exercices : exercices théoriques, simulations d'intrusion et exercices de restauration en direct. Planifier le calendrier des exercices ; impliquer les parties prenantes des gouvernements, des régions et des organisations. Utiliser un système de notation objectif pour le temps de détection et de confinement, le temps de restauration et l'intégrité des données ; consigner les enseignements tirés dans un rapport après action succinct et mettre à jour les manuels en conséquence.
Gouvernance et amélioration : maintenir un catalogue vivant des problèmes et des améliorations ; veiller à ce que l'ensemble des enseignements tirés des incidents soient accessibles à tous, en s'assurant que le sujet de la protection des données et les thèmes de sécurité sont abordés. S'aligner sur les normes et le ciblage des risques ; mesurer les indicateurs de santé tels que le délai moyen d'identification, le délai de compréhension et le délai de récupération ; ceci garantit une résilience à l'échelle de la région.