mardi 3 juillet 2012

Le "pack cybersécurité" du DHS pour les agences fédérales

Sur un budget fédéral consacré à la cybersécurité estimé à 6 milliards $ par an, le DHS en 2013 devrait consacrer 202 millions $ à faire développer puis fournir aux autres agences fédérales un kit de cybersécurité visant à réduire drastiquement les risques liés aux vulnérabilités logicielles.

Ce qui est pour le moment appelé "CMaaS" (Continuous Monitoring as a Service - Surveillance continue en tant que Service) sera constitué de plusieurs outils incluant des sondes de menaces proches temps réel, un panneau de contrôle pour prioritiser les mises à jour logicielles et enfin des services de conseil et d'assistance permettant d'assurer la cohérence d'ensemble. Le kit sera développé par un contractant inconnu pour le moment mais la genèse et la philosophie du projet sont intéressantes à connaître.

L'approche "surveillance continue" a démarré en 2010 avec l'idée maîtresse qu'il devenait coûteux mais aussi dangereux de laisser chaque agence traiter cette problématique de manière indépendante donc avec des niveaux de maturité (et de risques) extrêmement différents. Fournir un socle commun d'outils et de pratiques, quasi normé, fut frappé au sceau du bon sens et apparut donc comme une bonne solution. Surtout lorsque l'on sait que le DHS évalue le nombre de vulnérabilités potentielles à surveiller sur l'ensemble du domaine .gov compris entre 60 et 80 milliards ! Reposant sur un retour d'expérience où le Département d’État (= le ministère des Affaires étrangères) a servi d'entité pilote durant 1 an, l'idée est d'identifier un maximum de failles et de vulnérabilités logicielles, systèmes et réseaux puis de les traiter en moins de 72 heures.

Un système de notation permet d'apprécier le niveau de risques qui peut mais surtout devra varier positivement (c'est à dire diminuer). 11 critères seront constamment évalués (patchs ou antivirus non mis à jour, systèmes d'exploitation non-approuvés, état de la sensibilisation/formation des employés, etc.) avec l'attribution d'un bonus/malus de points. Au final, un indice allant de A (pour le meilleur) à F (pour le pire) est attribué fournissant le pilotage par les indicateurs du kit. Grâce à ce système, le Département d’État (= le ministère des Affaires étrangères), qui a servi d'entité pilote, dit avoir diminué en un an 89% des risques sur les ordinateurs et serveurs qui étaient sous surveillance.

Sources :

1 commentaire:

nom de domaine maroc a dit…

bravo ... super article .