BIZTECH : Quand vous êtes-vous intéressé pour la première fois à la confiance zéro en tant qu’architecture et en tant que cadre général ?
FRANÇAIS: En fait, en 2015, l’hôpital pour lequel je travaillais à l’époque est devenu très préoccupé par la possibilité qu’un ransomware ou une autre attaque de malware à grande échelle frappe l’organisation. L’une des choses que nous avons décidé de faire était de simuler à quoi cela ressemblerait si une attaque de malware devait frapper l’hôpital.
Nous avons pris ce qu’on appelle la chaîne de test EICAR – si quelqu’un n’est pas familier avec cela, c’est une chaîne de caractères inoffensive qu’il y a des années, tous les fabricants d’antivirus se sont réunis et ont accepté de traiter comme un virus. Il fournit un moyen sûr mais efficace de tester les défenses contre les logiciels malveillants – et j’ai écrit un script qui prendrait la chaîne de test EICAR et tenterait de la copier sur chaque PC de l’hôpital.
LIRE LA SUITE: Pourquoi les organisations de soins de santé devraient envisager la confiance zéro.
Maintenant, c’était un exercice qui a été exécuté sans que personne d’autre dans l’informatique ne le sache. Nous avons lancé un script et simulé la propagation du malware dans l’organisation. En faisant l’exercice, nous avons beaucoup appris sur les contrôles efficaces, ceux qui ne fonctionnaient pas et, dans certains cas, comment les gens ont réagi à l’attaque, à la fois en termes d’utilisateurs et en termes de réponse aux incidents.
L’un des contrôles qui s’est révélé vraiment efficace après avoir effectué ce test était la segmentation du réseau. Et la chose intéressante que nous avons vue est que la segmentation du réseau que nous avions, qui était par département, principalement des listes de contrôle d’accès et des réseaux locaux virtuels, a fait un bon travail pour garder cette menace contenue uniquement dans ce département particulier. Mais en tant qu’hôpital, l’une des choses que nous avons apprises est que si nous devions perdre un service clinique entier à cause d’un ransomware ou d’autres types d’attaques, cela serait désastreux pour les opérations cliniques à l’hôpital et potentiellement pour la sécurité des patients. Nous avons donc commencé à réfléchir aux moyens de faire passer la segmentation du réseau au niveau supérieur. Et c’est ce qui a lancé notre initiative de confiance zéro.
BIZTECH : Lorsque vous avez examiné la segmentation du réseau au début de cette initiative de confiance zéro, quels types de défis avez-vous rencontrés ?
FRANÇAIS : Le premier grand défi a été d’établir un inventaire des actifs. Pour quiconque se lance dans une initiative de confiance zéro, l’un de vos premiers défis consiste à découvrir tout ce qui se trouve sur le réseau. L’établissement de cet inventaire est la première étape. Après cela, le plus grand défi consiste à déterminer comment tous ces divers actifs communiquent entre eux. Il est important de comprendre ces différents flux de trafic et de les cartographier dans l’organisation.
En ce qui concerne notre initiative de confiance zéro, nous avons commencé par interroger les administrateurs des différents systèmes. Dans certains cas, ils connaissaient les flux de trafic. Dans certains cas, nous avons pu l’extraire de la documentation du fournisseur. Dans certains cas, nous avons utilisé l’analyse du trafic NetFlow ou divers outils de ce type. Et dans certains cas, nous avons dû recourir à des outils comme Wireshark pour découvrir les flux de trafic.
PLUS DE HEALTHTECH : Comment les hôpitaux peuvent-ils établir un modèle de sécurité zéro confiance ?
C’est une chose qui a changé depuis 2015. Beaucoup d’outils de confiance zéro plus modernes font un bien meilleur travail pour donner un aperçu du trafic qui se produit entre les systèmes. Donc, c’est devenu un peu plus facile, mais c’est toujours là que votre plus grand défi sera. Et je recommande à quiconque entreprenant une initiative de confiance zéro de passer du temps à apprendre complètement ces flux de trafic. Plus vous avez une meilleure idée du trafic requis dans votre organisation, moins vous aurez de chances de casser quelque chose au moment de mettre les politiques en place, car une fois identifiés, les flux de trafic constitueront la base de votre zéro. politiques de confiance.
BIZTECH : Prenons un peu de temps pour parler de ce que vous appelez la sécurité fondée sur des preuves. Qu’est-ce que cela incorpore et comment cela a-t-il été pris en compte dans vos plans lorsque vous avez essayé d’adopter la confiance zéro ?
FRANÇAIS : Je suis très attaché aux tests de sécurité. L’une des choses que j’aime faire est de trouver des moyens de quantifier la sécurité, de rendre la sécurité mesurable. Et l’exemple de test EICAR en est un exemple, en simulant une attaque ou un autre incident de sécurité, en développant des métriques autour de cela pour déterminer dans quelle mesure vos contrôles de sécurité fonctionnent ou ne fonctionnent pas et en utilisant cela pour identifier les améliorations de la sécurité. J’ai beaucoup aimé cette approche car elle vous donne une idée claire de ce qui fonctionne et de ce qui ne fonctionne pas. Au fur et à mesure que vous apportez des changements à l’organisation, vous pouvez voir quantitativement si vous apportez une amélioration ou non. Je trouve que c’est un moyen très efficace de prendre des décisions en matière de sécurité.
BIZTECH : Avez-vous découvert que bon nombre des différentes tactiques que vous avez apprises lors du premier tour pouvaient être transférées au mont Sinaï ? Ou avez-vous trouvé qu’il y avait des bizarreries entre les différentes organisations dont vous deviez rendre compte ?
FRANÇAIS : C’était fondamentalement la même approche consistant à faire d’abord l’inventaire des actifs, puis à faire l’inventaire des actifs et à l’utiliser pour déterminer les flux de données. Ces techniques étaient définitivement transférables. L’autre leçon importante à tirer de la première fois qui a rendu la tâche un peu plus facile une deuxième fois est de ne pas essayer de trop mordre à la fois. Il est important de comprendre que la confiance zéro n’est pas quelque chose que vous allez simplement actionner un interrupteur un jour et être tout à fait zéro confiance. La confiance zéro est un processus, et vous voudrez le déployer au fil du temps pour éviter de casser des choses.
