Secteur public 
Alors que les agences fédérales américaines sont confrontées à des cybermenaces de plus en plus sophistiquées, la sécurisation des systèmes à fort impact et des données
Le zero trust est un cadre de cybersécurité basé sur le principe de « ne jamais faire confiance, toujours vérifier », ce qui signifie que chaque utilisateur, appareil et session doit être continuellement vérifié pour que l’accès soit accordé et maintenu. Dans les environnements fédéraux, la stratégie zero trust est particulièrement cruciale, car les comptes privilégiés peuvent donner accès à des systèmes, infrastructures et données sensibles. Les agences gouvernementales peuvent mettre en œuvre une sécurité zero trust en adoptant une plateforme dédiée à la sécurité des identités avec gestion des accès privilégiés (PAM), qui authentifie en continu les demandes d’accès, applique le principe du moindre privilège et offre une visibilité en temps réel sur l’activité privilégiée.
Poursuivez votre lecture pour découvrir comment les agences peuvent sécuriser les accès privilégiés grâce à une plateforme de sécurité des identités et comment Keeper® applique les principes zero trust pour protéger l’accès aux environnements fédéraux et d’entreprise.
Pourquoi la sécurité zero trust est importante pour les agences gouvernementales
La sécurité zero trust n’est plus simplement une recommandation pour les agences gouvernementales ; elle est obligatoire au niveau fédéral. Le décret exécutif 14028 aux États-Unis, émis en 2021, demande aux agences de moderniser leurs pratiques de cybersécurité, notamment en adoptant une architecture zero trust. En 2022, le Bureau de la gestion et du budget (OMB) a publié le mémorandum M-22-09, ordonnant aux agences civiles fédérales de respecter des normes de sécurité zero trust spécifiques et de les mettre en œuvre dans leurs environnements. Le Département de la guerre (DoW) aux États-Unis a également publié sa Stratégie zero trust en 2022, exposant son plan de mise en œuvre complète d’un cadre de cybersécurité zero trust à l’échelle de l’organisation d’ici septembre 2027. Mais alors que le DoW se dirige vers sa mise en œuvre, il existe encore des lacunes en matière de visibilité des données, de gouvernance des identités — en particulier pour les identités non humaines (NHI) et les agents d’IA — et de l’application du zero trust aux systèmes hérités et opérationnels. Ces mandats et stratégies témoignent de l’abandon de la sécurité traditionnelle basée sur le périmètre au profit d’un modèle centré sur les données.
Les environnements fédéraux étant désormais répartis entre des systèmes sur site, hybrides et dans le cloud, il est essentiel de vérifier en permanence chaque utilisateur, chaque appareil et chaque session. Les systèmes fédéraux prennent en charge les services publics, les opérations de sécurité nationale et les données sensibles, ce qui signifie qu’un seul compte privilégié compromis peut entraîner des mouvements latéraux, des interruptions opérationnelles ou un accès non autorisé à des informations classifiées. Le zero trust permet aux agences de réduire les risques, d’appliquer des contrôles d’accès précis et de répondre aux normes fédérales à grande échelle.
Les piliers du zero trust dans les environnements fédéraux
L’Agence de cybersécurité et de sécurité des infrastructures (CISA) définit le concept de zero trust à travers cinq piliers dans son Modèle de maturité zero trust. Voici le rôle de la PAM au regard des cinq piliers du zero trust :
| Pillar of zero trust | What it means for federal agencies | How PAM supports it |
|---|---|---|
| Identity | Verify employees, third-party vendors, contractors, machines and AI agents before granting access | Enforces strong authentication and time-limited, role-based access |
| Devices | Ensure both government-issued and personal endpoints are trusted before granting access | Restricts privileged access on unmanaged or unfamiliar devices |
| Networks | Secure access beyond traditional perimeter-based models | Works with Zero-Trust Network Access (ZTNA) to secure identity-based connections |
| Applications and workloads | Protect access across on-premises, hybrid and cloud systems | Secures sessions and enables credential injection |
| Data | Secure sensitive and classified data | Enforces least privilege and logs all privileged activity |
Les défis auxquels les agences fédérales sont confrontées lorsqu’elles adoptent le zero trust
La mise en œuvre du modèle zero trust dans les environnements fédéraux est complexe en raison des systèmes hérités, des normes strictes en matière de conformité et de l’infrastructure distribuée.
Les anciens systèmes limitent l’authentification moderne
De nombreuses agences s’appuient encore sur des systèmes anciens qui ne prennent pas en charge l’authentification moderne, comme l’authentification multifacteur (MFA). La mise à jour de ces systèmes peut s’avérer difficile et risquée, car les changements peuvent perturber des opérations critiques. Par exemple, les systèmes qui gèrent les dossiers des citoyens ou le traitement des prestations fonctionnent souvent sur une ancienne infrastructure sur site, difficile à intégrer aux contrôles modernes, ce qui crée des failles de sécurité exploitables.
Des normes de conformité complexes
Les organisations fédérales aux États-Unis doivent se conformer à des cadres tels que la Federal Information Security Modernization Act (FISMA) et répondre aux normes d’authentification définies par la NIST Special Publication 800-63B. Les organisations de défense et les contractants doivent également satisfaire aux exigences de la Certification du modèle de maturité de cybersécurité (CMMC), qui s’applique à ceux qui protègent les Informations non classifiées contrôlées (CUI), dans le cadre des contrats du ministère de la défense. Prouver l’application de l’accès de moindre privilège et maintenir des pistes d’audit sont généralement des processus manuels et fastidieux qui nécessitent beaucoup de temps et de ressources.
Environnements décentralisés et multicloud
Les environnements informatiques fédéraux sont très décentralisés, couvrant des plateformes hébergées sur site et dans le cloud, avec des utilisateurs distants et des sous-traitants tiers répartis dans plusieurs régions. Cette architecture sans périmètre rend difficile l’application de contrôles d’accès cohérents et le maintien de la visibilité à travers les chaînes de provisionnement, ce qui augmente le risque de mauvaises configurations et d’accès non autorisés.
Les identifiants privilégiés non gérés augmentent le risque
Les identifiants privilégiés permettent d’accéder à des systèmes critiques, y compris les infrastructures de services publics, les systèmes financiers et les plateformes d’identité. En cas de compromission, ils peuvent permettre aux cybercriminels de se déplacer latéralement et d’accéder à des données sensibles, telles que les dossiers des citoyens ou les informations de santé. En l’absence de contrôles appropriés, des comptes privilégiés compromis disposant d’un large accès administratif peuvent compromettre la sécurité des systèmes critiques et des données sensibles.
Avantages d’une solution PAM zero trust pour les agences gouvernementales
Alors que le zero trust exige que les utilisateurs et les appareils soient continuellement vérifiés, la PAM garantit que l’accès privilégié est étroitement surveillé, contrôlé et limité. Les principaux avantages de la mise en œuvre d’une solution PAM zero trust dans les environnements fédéraux sont les suivants :
- Réduire la surface d’attaque en éliminant les accès permanents : accorder uniquement l’accès en cas de besoin et pour une durée limitée grâce à l’absence de privilèges permanents (ZSP), de quoi réduire le nombre de comptes exploitables par les cybercriminels.
- Prévenir les violations de données protégées par des identifiants grâce à des contrôles d’accès granulaires : appliquer l’accès de moindre privilège, sécuriser les identifiants privilégiés et réduire le risque de vol d’identifiants et de mouvement latéral.
- Assurer une conformité continue avec une visibilité en temps réel : obtenir une surveillance centralisée des sessions, des pistes d’audit et des rapports selon les normes de la FISMA, du NIST et de la CMMC.
- Améliorer l’efficacité opérationnelle grâce à la gestion centralisée des accès : rationaliser l’application des politiques et le provisionnement tout en réduisant les processus manuels et le risque d’erreurs humaines.
- Environnements hybrides et multicloud sécurisés : appliquer des contrôles d’accès et une visibilité uniformes sur les systèmes sur site, cloud et hybrides.
Comment Keeper assure la sécurité zero trust pour les agences fédérales
En rassemblant la gestion des mots de passe d’entreprise, des secrets, des sessions privilégiées et des privilèges des terminaux sur une seule plateforme native du cloud agréée FedRAMP High, Keeper permet aux agences de sécuriser les systèmes critiques et de contrôler l’accès privilégié sur l’ensemble de la chaîne d’approvisionnement.
Mettre en œuvre le zero trust sur les systèmes hérités et modernes
De nombreuses organisations fédérales s’appuient sur un mélange de systèmes hérités et modernes, ce qui rend difficile la mise en œuvre d’une sécurité cohérente. Keeper solutionne cela en assurant une gestion de sessions chiffrées via la passerelle Keeper, permettant ainsi un accès sécurisé sans exposer les identifiants ni nécessiter de modifications de l’infrastructure. En outre, les agences peuvent mettre en place la MFA sur tous les systèmes, y compris les environnements hérités qui ne la prennent pas nativement en charge, sans jamais exposer les identifiants aux utilisateurs finaux. Cela permet aux organisations fédérales d’appliquer des contrôles zero trust à des systèmes hérités obsolètes sans perturber les opérations.
Mettre en œuvre l’accès de moindre privilège avec l’accès juste-à-temps (JIT)
Keeper prend en charge la sécurité zero trust en imposant un accès basé sur le principe du moindre privilège grâce au provisionnement Juste-à-temps (JIT). Au lieu d’accorder un accès permanent, les privilèges sont attribués en fonction du rôle et du contexte pour une durée limitée et sont automatiquement révoqués lorsqu’ils ne sont plus nécessaires. Cela permet d’éliminer les accès permanents, de réduire le risque de menaces internes et de minimiser les possibilités pour les cybercriminels d’exploiter les comptes privilégiés.
Simplifier la conformité grâce à la gestion des sessions privilégiées
Keeper permet de surveiller et d’enregistrer les sessions privilégiées, en capturant l’activité de l’écran et du clavier pour une visibilité totale. Les organisations doivent vérifier que les pratiques d’enregistrement des sessions sont conformes aux politiques applicables des agences et aux normes fédérales en matière de surveillance des effectifs avant le déploiement. Toute activité privilégiée est enregistrée et peut être intégrée aux outils SIEM. KeeperDB étend les contrôles zero trust à l’accès aux bases de données par injection d’identifiants. Les utilisateurs se connectent aux bases de données directement depuis le coffre-fort Keeper, sans que les identifiants sous-jacents ne soient jamais exposés. Cela aide les agences fédérales à protéger les données sensibles et à respecter les normes FISMA, NIST SP 800-53 et CMMC.
Renforcer l’accès réseau zero trust (ZTNA)
Keeper étend l’accès sécurisé en permettant des connexions basées sur l’identité sans recourir à des réseaux privés virtuels (VPN) traditionnels. Keeper remplace les solutions traditionnelles d’accès réseau zero trust (ZTNA), et permettent aux agences de s’assurer que les utilisateurs sont authentifiés et autorisés avant d’accéder aux systèmes depuis n’importe quel lieu. Associée à la PAM, la ZTNA garantit à la fois un accès sécurisé et un contrôle strict des actions des utilisateurs au sein des systèmes.
Étendre le modèle zero trust aux terminaux
La sécurité zero trust doit aller au-delà de l’infrastructure pour inclure les appareils. Le gestionnaire des privilèges des terminaux de Keeper applique le principe du moindre privilège au niveau des terminaux sur les systèmes Windows, macOS et Linux. En supprimant les droits d’administrateur persistants et étendus et en permettant l’élévation des privilèges en fonction des tâches, les agences peuvent minimiser le risque de menaces internes et prévenir les modifications non autorisées.
Détecter les menaces en temps réel avec KeeperAI
KeeperAI analyse en temps réel les sessions privilégiées en utilisant des analyses comportementales avancées pour détecter des activités suspectes et évaluer les niveaux de risque. Les administrateurs peuvent configurer des réponses automatisées, y compris la fin automatique d’une session, selon des seuils de risque définis, et cela, en toute confiance grâces à des contrôles en place pour minimiser les faux positifs et faciliter la supervision humaine. Lorsqu’une activité à haut risque est détectée, KeeperAI peut automatiquement mettre fin à une session avant que les cybermenaces potentielles ne s’aggravent, aidant ainsi les organisations fédérales à répondre plus rapidement aux incidents de sécurité et à minimiser l’impact des cyberattaques.
Améliorez la cybersécurité fédérale avec Keeper
L’EO 14028 et l’OMB M-22-09 ont défini le zero trust, non pas comme une bonne pratique, mais comme une norme fédérale. Le respect de ces exigences au sein d’une infrastructure héritée, d’environnements cloud distribués et d’un paysage de conformité complexe nécessite une plateforme spécialement conçue pour la sécurité fédérale. Keeper est agréé FedRAMP High et conçu pour les environnements fédéraux et d’entreprise actuels. Il permet aux agences d’appliquer le principe du moindre privilège et assure un accès sécurisé aux infrastructures traditionnelles et cloud. Pour voir comment Keeper peut aider votre agence à mettre en œuvre la sécurité zero trust et obtenir une visibilité en temps réel sur les activités privilégiées, demandez une démonstration.
