Répondre aux exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID

L’Ordre exécutif sur l’amélioration de la cybersécurité de la nation (14028), dirige les organismes fédéraux pour faire progresser les mesures de sécurité qui réduisent considérablement le risque de cyberattaques réussies contre l’infrastructure numérique du gouvernement fédéral. Le 26 janvier 2022, à l’appui de l’Ordre exécutif (EO) 14028, le Bureau de gestion et de budget (OMB) a publié la stratégie fédérale de confiance zéro dans protocole M 22-09 pour les chefs des ministères et organismes exécutifs.

Cette série d’articles contient des conseils pour utiliser Microsoft Entra ID en tant que système de gestion des identités centralisé lors de l’implémentation des principes de confiance zéro, comme décrit dans mémo 22-09.

Le mémo 22-09 soutient les initiatives de confiance zéro dans les organismes fédéraux. Il a des conseils réglementaires pour la cybersécurité fédérale et les lois sur la confidentialité des données. Le mémo cite le département de la Défense des États-Unis (DoD) : architecture de référence Zero Trust

«L’ensemble fondamental du modèle confiance zéro est qu’aucun acteur, système, réseau ou service fonctionnant en dehors ou dans le périmètre de sécurité n’est approuvé. Au lieu de cela, nous devons vérifier tout ce qui tente d’établir l’accès. Il s’agit d’un changement de paradigme spectaculaire dans la philosophie de la façon dont nous sécurisons notre infrastructure, nos réseaux et nos données, de la vérification une fois au niveau du périmètre jusqu’à la vérification continue de chaque utilisateur, appareil, application et transaction."

Le mémo identifie cinq objectifs principaux pour que les organismes fédéraux atteignent, organisés avec le modèle de maturité de l’architecture des systèmes d’information de cybersécurité (CISA). Le modèle CISA Zero Trust décrit cinq domaines complémentaires d’effort ou piliers :

• Identité
• Dispositifs
• Réseau
• Applications et charges de travail
• Données

Les piliers se croisent avec :

• Visibilité
• Analyse de données
• Automatisation
• Orchestration
• Gouvernance

Étendue des conseils

Utilisez la série d’articles pour créer un plan pour répondre aux exigences de mémo. Il suppose l’utilisation de produits Microsoft 365 et d’une instance Microsoft Entra.

En savoir plus : Démarrage rapide : Créer un locataire dans Microsoft Entra ID.

Les instructions de la série d’articles englobent les investissements par l'agence dans les technologies Microsoft qui s'alignent sur les actions relatives à l'identité mentionnées dans le mémo.

• Pour les utilisateurs de l’agence, les agences utilisent des systèmes de gestion des identités centralisés qui peuvent être intégrés aux applications et aux plateformes communes
• Les agences utilisent l’authentification multifacteur forte à l’échelle de l’entreprise (MFA)
  • L’authentification multifacteur est appliquée à la couche application, et non à la couche réseau
  • Pour le personnel de l’agence, les sous-traitants et les partenaires, l’authentification multifacteur résistante au hameçonnage est requise
  • Pour les utilisateurs publics, l’authentification multifacteur résistante au hameçonnage est une option
  • Les stratégies de mot de passe ne nécessitent pas de caractères spéciaux ni de rotation régulière
• Lorsque les agences autorisent l’accès des utilisateurs aux ressources, ils prennent en compte au moins un signal au niveau de l’appareil, avec des informations d’identité sur l’utilisateur authentifié

Étapes suivantes

• système de gestion des identités à l’échelle de l’entreprise
• répondre aux exigences d’authentification multifacteur du protocole 22-09
• satisfaire aux exigences d'autorisation de la note 22-09
• Autres domaines de confiance zéro traités dans le protocole 22-09
• Sécurisation de l’identité avec Zero Trust