Exigences de sécurité CISA : Protéger les informations sensibles
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a récemment annoncé des propositions d'exigences de sécurité visant à empêcher les nations adverses d'accéder aux informations personnelles et gouvernementales des Américains. Ces propositions de lignes directrices s'inscrivent dans le cadre d'un effort plus large au titre du décret 14117, signé par le président Biden au début de l'année, et reflètent les préoccupations croissantes concernant les risques liés à la sécurité des données qui menacent la sécurité nationale.
Face à l'augmentation des violations de données et des cyberactivités parrainées par des États, ces exigences de sécurité visent à contrer les menaces étrangères et à renforcer le dispositif de sécurité des entités américaines.
Qui est concerné par les exigences de sécurité de la CISA ?
Les nouvelles exigences en matière de sécurité s'adressent principalement aux organisations qui traitent des transactions restreintes impliquant de grands volumes de données personnelles américaines sensibles ou de données liées à des intérêts gouvernementaux. L'accent est mis sur les entités actives dans des secteurs tels que la technologie, les télécommunications, les soins de santé, la biotechnologie, la finance et les contrats de défense. Les exigences de la CISA visent à atténuer les risques qui pourraient survenir si les données gérées par ces organisations étaient exposées à des "pays préoccupants" ou à des "personnes visées", qui comprennent généralement des nations et des individus connus pour leur cyberespionnage et leurs campagnes de piratage parrainées par l'État contre les intérêts américains.
Quelles sont les exigences de sécurité proposées ?
La LPCC met l'accent sur deux domaines principaux : la sécurité au niveau de l'organisation et des systèmes et les exigences de sécurité au niveau des données. Voici un aperçu de quelques propositions clés.
- Les organisations devraient tenir et mettre à jour chaque mois un inventaire des actifs, y compris les adresses IP et les adresses MAC du matériel.
- Remédier aux vulnérabilités exploitées connues (KEV) dans un délai de 14 jours.
- Remédier aux vulnérabilités critiques dans les 15 jours (même si elles ne sont pas exploitées) et aux vulnérabilités de haute gravité dans les 30 jours. KernelCare Enterprise de TuxCare peut considérablement rationaliser ce processus en automatisant la correction des vulnérabilités du noyau sans nécessiter de redémarrage. KernelCare prend en charge les principales distributions Linux d'entreprise, notamment Ubuntu, Debian, RHEL, CentOS, Rocky Linux, AlmaLinux, CloudLinux, Oracle Linux, Amazon Linux, etc.
- La CISA propose de maintenir une topologie précise du réseau pour une identification et une réponse efficaces aux incidents.
- Appliquer l'authentification multifactorielle (MFA) sur les systèmes critiques et mettre en œuvre des politiques de mots de passe forts (16 caractères au minimum). En outre, révoquer immédiatement les identifiants d'accès lorsque les personnes quittent l'organisation ou changent de rôle.
- Mettre en œuvre des politiques visant à empêcher les dispositifs non autorisés, tels que les clés USB, de se connecter aux systèmes couverts.
- Collecter et conserver les journaux relatifs aux événements liés à l'accès et à la sécurité pendant au moins 12 mois (ou jusqu'à la résolution finale d'une violation de données). Il s'agit notamment des alertes des systèmes de détection et de prévention des intrusions (IDS/IPS), des journaux des pare-feu, des VPN et des événements de connexion, afin de permettre l'identification en temps utile des failles de sécurité potentielles.
- Refuser toutes les connexions par défaut, sauf si elles sont explicitement autorisées pour des fonctions spécifiques.
- Appliquer des stratégies de minimisation et de masquage des données afin de réduire la nécessité de collecter ou d'obscurcir les données.
- Crypter les données sensibles dans toutes les transactions restreintes afin de les protéger contre tout accès non autorisé. Crypter les données en transit et au repos à l'aide d'un système de cryptage standard (par exemple, TLS 1.2 ou supérieur). Stocker les clés de chiffrement séparément et en empêcher l'accès par des personnes ou des lieux non autorisés.
- Utiliser des techniques telles que le cryptage homomorphique et la confidentialité différentielle pour empêcher la reconstruction des données couvertes, en veillant à ce que les données traitées ne puissent pas être reliées à des informations sensibles.
Conclusion
La CISA invite le public à lui faire part de ses commentaires sur ces propositions d'exigences de sécurité avant leur finalisation. Si la sécurité des données vous préoccupe et que vous souhaitez contribuer à un avenir numérique plus sûr, vous pouvez faire part de vos commentaires sur regulations.gov en recherchant CISA-2024-0029 et en sélectionnant l'option "Comment Now !
Alors que les organisations s'adaptent aux nouvelles exigences de sécurité de la CISA, la mise en œuvre d'approches modernes telles que l'application automatisée de correctifs en direct peut simplifier le processus de correction des vulnérabilités tout en minimisant les interruptions. KernelCare Enterprise permet aux entreprises de maintenir la sécurité et la conformité sans sacrifier le temps de fonctionnement ou la continuité opérationnelle.
Vous avez des questions sur la sécurité Linux, les correctifs de vulnérabilité ou les normes de conformité ? Contactez nos experts dès aujourd'hui - nous sommes là pour vous aider à trouver des solutions efficaces pour votre organisation !
Source : CISA