Respectez les exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID

Le décret exécutif américain relatif à l’amélioration de la cybersécurité (14028) dirige les agences fédérales sur l’avancement des mesures de sécurité qui réduisent significativement le risque de réussite des cyberattaques contre l’infrastructure numérique du gouvernement fédéral. Le 26 janvier 2022, à l’appui du décret exécutif (EO) américain 14028, le Bureau de la gestion et du budget (OMB) des États-Unis a publié la stratégie de Confiance Zéro fédérale dans le mémorandum M 22-09 à l’intention des chefs des ministères et organismes de direction du pays.

Cette série d'articles contient des conseils pour utiliser Microsoft Entra ID comme système de gestion centralisé des identités lors de la mise en œuvre des principes Zero Trust, comme décrit dans le mémorandum 22-09.

Le mémorandum 22-09 appuie les initiatives Confiance Zéro dans les agences fédérales. Il fournit également des conseils réglementaires pour soutenir la cybersécurité fédérale et les lois sur la confidentialité des données. Le mémo cite l’architecture de référence Confiance Zéro du département de la Défense (DoD) américain :

« Le principe fondamental du modèle Confiance Zéro est qu’aucun acteur, système, réseau ou service opérant à l’extérieur ou à l’intérieur du périmètre de sécurité n’est approuvé. Au lieu de cela, nous devons vérifier tout ce qui tente d’établir l’accès. Il s’agit d’un changement de paradigme spectaculaire dans la façon dont nous sécurisons notre infrastructure, nos réseaux et nos données, de la vérification réalisée une seule fois au niveau du périmètre à la vérification continue de chaque utilisateur, appareil, application et transaction. »

Le mémorandum identifie cinq objectifs principaux que les agences fédérales doivent atteindre, organisés avec le modèle de maturité de l’architecture des systèmes d’information de cybersécurité (CISA). Le modèle Confiance Zéro de l’architecture CISA décrit cinq zones d’effort complémentaires, ou piliers :

• Identité
• Appareils
• Réseaux
• Applications et charges de travail
• Données

Les piliers se croisent avec :

• Visibilité
• Analytics
• Automatisation
• Orchestration
• Gouvernance

Étendue des recommandations

Utilisez la série d’articles pour créer un plan afin de répondre aux exigences du mémorandum. Cela suppose l’utilisation de produits Microsoft 365 et d’un locataire Microsoft Entra.

En savoir plus : Démarrage rapide : créer un nouveau locataire dans Microsoft Entra ID.

Les instructions de la série d’articles couvrent les investissements des agences dans les technologies Microsoft qui s’alignent sur le mémorandum concernant les actions liées à l’identité.

• Pour les utilisateurs d’agences, les agences utilisent des systèmes de gestion des identités centralisés qui peuvent être intégrés à des applications et à des plateformes communes
• Les agences ont recours à une authentification multifacteur (MFA) forte dans l’ensemble de l’entreprise
  • L’authentification multifacteur est appliquée au niveau de la couche d’application, au lieu de la couche réseau
  • Pour le personnel, les sous-traitants et les partenaires de l’agence, une authentification multifacteur résistante au hameçonnage est requise
  • Pour les utilisateurs publics, l’authentification multifacteur résistante au hameçonnage est une option
  • Les stratégies de mot de passe ne nécessitent pas de caractères spéciaux ni de rotation régulière
• Lorsque des agences autorisent des utilisateurs à accéder à des ressources, elles doivent prendre en compte au moins un signal au niveau de l’appareil, ainsi que les informations d’identité relatives à l’utilisateur authentifié

Étapes suivantes

• Système de gestion des identités au niveau de l’Enterprise
• Répondre aux exigences d’authentification multifacteur du protocole 22-09
• Répondre aux exigences d’autorisation pour le mémorandum 22-09
• Les autres zones de Confiance Zéro ne sont pas traitées dans le mémo 22-09
• Sécurisation des identités avec la Confiance Zéro