Secteur public 
Alors que les agences fédérales américaines sont confrontées à des cybermenaces de plus en plus sophistiquées, la sécurisation des systèmes à fort impact et des données
La base industrielle de défense (DIB) des États-Unis regroupe plus de 100 000 entreprises qui fournissent des matériaux ou des services au ministère américain de la Défense (DoD). Ces entreprises fournissent les produits nécessaires à la défense du pays et constituent un maillon essentiel de la chaîne d’approvisionnement du DoD. La taille des entreprises de la DIB varie, allant de grands sous-traitants de défense bien connus, tels que Lockheed Martin, Boeing et Northrop Grumman, à des petites et moyennes entreprises qui fournissent des produits et services spécialisés, tels que des drones et des véhicules militaires.
Alors que les cyberattaques menées par des États-nations continuent de cibler les services du secteur public, les agences publiques et les entreprises privées au sein de la DIB doivent prendre la cybersécurité au sérieux et s’efforcer de renforcer leurs défenses afin de protéger les informations sensibles relatives à la défense. Le DoD a élaboré le cadre CMMC (Cybersecurity Maturity Model Certification) afin de renforcer la cybersécurité de la DIB. Il combine les normes de cybersécurité publiées par le NIST (National Institute of Standards and Technology) auxquelles tout sous-traitant public souhaitant travailler avec le DoD doit se conformer.
Cyberattaques visant la DIB
Les adversaires lancent des cyberattaques dans le but de voler des données sensibles ou de la propriété intellectuelle, de saboter des activités commerciales ou de menacer les chaînes d’approvisionnement.
Parmi les exemples les plus médiatisés ces dernières années, on peut citer l’attaque par ransomware contre Colonial Pipeline en 2021, qui a paralysé un important gazoduc pendant plusieurs jours et provoqué l’état d’urgence national. Lors de l’attaque contre SolarWinds en 2020, des pirates informatiques soutenus par des États-nations ont accédé aux réseaux, aux systèmes et aux données de milliers de clients de SolarWinds, dont de nombreuses agences publiques locales, fédérales et d’État.
L’attaque contre Colonial Pipeline a été causée par la fuite d’un mot de passe, un compte VPN inactif et l’absence d’authentification multifactorielle, autant de principes élémentaires de cybersécurité. Dans le cas de SolarWinds, il s’agissait d’une attaque contre la chaîne d’approvisionnement visant les systèmes de surveillance des performances informatiques de l’entreprise, qui disposaient d’un accès privilégié à d’autres systèmes informatiques pour obtenir des données sur les journaux et les performances du système.
Plus récemment, en avril 2024, quatre ressortissants iraniens ont été inculpés devant un tribunal fédéral et accusés d’avoir participé à une opération utilisant des logiciels malveillants ainsi que des techniques de harponnage (spear-phishing) et de piratage informatique afin de compromettre les comptes d’employés du gouvernement américain, notamment ceux des ministères des Finances et des Affaires étrangères, ainsi que ceux de sous-traitants du secteur de la défense. Dans l’un des cas, le ministère de la Justice a noté que :
« Les conspirateurs ont compromis un compte de messagerie administrateur appartenant à un sous-traitant du secteur de la défense. L’accès à ce compte leur a permis de créer des comptes non autorisés, qu’ils ont ensuite utilisés pour envoyer des campagnes de harponnage aux employés d’un autre sous-traitant du secteur de la défense et d’un cabinet de conseil. »
Des tactiques d’ingénierie sociale ont également été utilisées afin de déployer des logiciels malveillants sur les ordinateurs des victimes et de compromettre d’autres appareils et comptes.
CMMC et cyberrésilience
Les cybercriminels n’ont besoin de compromettre qu’un seul compte privilégié en vue d’accéder à d’autres comptes et données au sein du réseau d’une organisation. Les sous-traitants du gouvernement qui traitent des informations non classifiées contrôlées (CUI) doivent se conformer au cadre de sécurité CMMC, qui englobe une série de contrôles classés par domaines. Ces domaines couvrent un large éventail de pratiques en matière de cybersécurité, et les contrôles qui les composent sont conçus pour renforcer la posture de sécurité globale des organisations.
La conformité de niveau 2 de la CMMC oblige les organisations à respecter 110 contrôles de sécurité selon la norme NIST SP 800-171. Bien que nous ne puissions pas couvrir ici tous les contrôles, votre organisation peut prendre certaines mesures pour garantir sa conformité au CMMC et sa cyberrésilience.
- Mettre en œuvre l’authentification multifactorielle (MFA) : utilisez la MFA afin d’accéder aux systèmes et aux données sensibles et d’ajouter une couche de sécurité supplémentaire aux comptes protégés par mot de passe.
- Mettre à jour et corriger les systèmes : maintenez tous les logiciels, systèmes d’exploitation et micrologiciels à jour, en installant les derniers correctifs afin de vous protéger contre les vulnérabilités connues.
- Effectuer régulièrement des évaluations de sécurité : réalisez régulièrement des audits de sécurité, des évaluations des vulnérabilités et des tests d’intrusion afin d’identifier et de corriger les failles de sécurité potentielles.
- Chiffrer les données sensibles et les mots de passe : utilisez un gestionnaire de mots de passe afin de protéger l’accès aux données sensibles, tant au repos qu’en transit, et d’empêcher tout accès non autorisé.
- Utiliser la gestion des accès privilégiés (PAM) : mettez en œuvre des contrôles d’accès stricts afin de garantir que seul le personnel autorisé ait accès aux informations sensibles. Cela inclut le contrôle d’accès basé sur les rôles (RBAC) et le principe du moindre privilège.
- Mettre en œuvre une architecture de sécurité zero trust : veillez à ce que l’authentification, l’autorisation et le chiffrement, au niveau des utilisateurs et des appareils, soient mis en œuvre dans l’ensemble de l’organisation.
Comment Keeper Security Government Cloud aide les sous-traitants de la DIB à répondre aux exigences du cadre CMMC
Le gestionnaire de mots de passe et d’accès privilégiés Keeper Security Government Cloud (KSGC) bénéficie de l’autorisation FedRAMP High et répond à plusieurs contrôles CMMC dans les domaines du contrôle d’accès (AC), de l’audit et de la responsabilité (AU), de l’identification et de l’authentification (IA) et plus encore.
KSGC analyse la force et la sécurité des mots de passe stockés au sein des organisations et fournit une note de risque complète pour chaque identifiant ainsi que pour les bonnes pratiques concernant les mots de passe des organisations et des individus. Les administrateurs informatiques reçoivent des informations exploitables par le biais de rapports détaillés et de tableaux de bord, mettant en évidence les mots de passe faibles, réutilisés ou compromis, ce qui leur permet d’appliquer de manière proactive des politiques de mot de passe et de lancer des mesures correctives.
KSGC utilise une architecture de sécurité zero trust et zero knowledge, ainsi que l’administration déléguée et des politiques d’application basées sur les rôles, afin de fournir aux administrateurs système une visibilité et un contrôle complets sur la protection des identités et les risques au sein de leur organisation.
Pour en savoir plus sur la manière dont KSGC peut répondre aux exigences de conformité CMMC et protéger votre organisation contre les cyberattaques, demandez une démonstration dès maintenant.
