L'informatique en nuage a radicalement changé la façon dont les agences offrent leurs services, tout comme les smartphones ont transformé la façon dont les gens accèdent à l'information et l'utilisent. Mais ces nouvelles possibilités de partage de données créent de nouveaux risques liés à l'identité.
"Pensez aux images de l'ancienne école où vous aviez un centre de données [physique]", a déclaré Alexandra Weaver, de Semperis, une entreprise qui fournit une protection complète de l'identité. "Ce n'est plus vraiment le cas avec l'informatique dématérialisée. Nous avons toutes ces offres qui sont partout, et ... nous devons [dire], 'Hé, qu'est-ce que je protège maintenant ? Eh bien, je protège maintenant mon identité".
C'est le nouveau périmètre du réseau, explique-t-elle. Mais malgré l'importance de le protéger, les entreprises ont souvent du mal à faire la transition.
Les frictions sont réelles
"Il y aura des frictions lorsque les agences changeront de processus", a déclaré M. Weaver. "Beaucoup de ces agences font un travail solide depuis des années et la transformation devient difficile.
En fait, les applications et les technologies patrimoniales sont souvent les bébés que les agences ont fièrement nourris pendant des décennies. Parlant d'expérience personnelle, elle a déclaré qu'il peut y avoir des liens affectifs avec les anciennes technologies de l'information que quelqu'un a "gardées solides pour [l']environnement" pendant des années.
Il est important d'avoir un partenaire industriel, tel que Semperis, qui puisse parler dès le début des futurs gains d'efficacité et autres avantages et inclure le personnel de l'agence dans la conception des nouveaux flux de travail. "Il est important, dès le départ, de créer une camaraderie au sein de l'équipe dans le cadre du processus de prise de décision", a déclaré Mme Weaver. "Il s'agit de réunir tout le monde autour de la table, de définir les objectifs, de les aligner et de s'assurer que nous atteignons les résultats escomptés.
Suite de services
Semperis donne aux agences une visibilité sur la sécurité de leur environnement et les aide à être proactives plutôt que réactives. Une suite complète de produits offre des outils avant, pendant et après une cyberattaque, a déclaré M. Weaver.
Il s'agit notamment de rechercher en permanence les vulnérabilités dans l'Active Directory d'une agence, de surveiller les indicateurs d'exposition et de compromission et de disposer d'une visibilité ininterrompue sur les attaques que les autres outils de surveillance ne peuvent pas voir.
La plateforme remédie automatiquement aux violations lorsque l'attente d'une intervention humaine serait trop risquée et fournit des notifications de menace en temps réel.
En cas de cyberattaque, Semperis a adopté une approche à deux volets pour restaurer le système, a expliqué M. Weaver. Premièrement, identifier ce qui s'est passé, rechercher étape par étape les failles et les objets cachés, les portes dérobées que l'attaquant aurait pu créer et, deuxièmement, rétablir un état de confiance.
La restauration des données est plus difficile lorsqu'une agence ne fait appel à Semperis qu'après un événement. "Beaucoup [d'agences] n'ont pas d'accès à Internet, alors j'ai aidé une organisation qui tenait son téléphone portable pour que je puisse voir son écran", se souvient-elle.
Purple Knight
Le développement d'une compréhension de base des vulnérabilités de votre système est la première étape d'une cyberdéfense solide. L'exécution du logiciel Purple Knight de Semperis sur un ordinateur du réseau est une option, a déclaré Mme Weaver. "Il n'y a pas d'autorisations élevées, pas de super-pouvoirs, un simple utilisateur sur un ordinateur peut le faire", a-t-elle déclaré.
Cet outil gratuit analyse le système d'une agence, identifie les faiblesses, attribue un score de vulnérabilité et propose des conseils prioritaires. "Avec toutes les menaces qui existent aujourd'hui, nous devons avoir une longueur d'avance", a-t-elle déclaré.
Cette interview a été initialement publiée dans le rapport State & Local de GovLoop : Making an Impact de GovLoop.