Les principales actualités sur la cybersécurité de mars 2025

La cybersécurité évolue rapidement et les organisations doivent s'adapter en temps réel.

Que vous cherchiez à affiner votre stratégie Zero Trust, à mieux comprendre les tendances émergentes en matière de main-d'œuvre ou à découvrir comment les organisations collaborent pour renforcer leur résilience, les dernières mises à jour proposent de précieux enseignements.

Les actualités de ce mois-ci présentent les informations des meilleurs experts en sécurité sur :

• Sécuriser le SaaS moderne grâce à un état d'esprit tourné vers la gauche et à une stratégie Zero Trust
• Pourquoi les experts fédéraux en cybersécurité occupent des postes au sein du gouvernement des États
• Quelles erreurs les organisations se trompent lorsqu'elles mettent en place Zero Trust
• Évaluation 5 étoiles du programme de partenariat Illumio Enlighten par CRN

Pourquoi Zero Trust est essentiel à la sécurité SaaS moderne

Le développement du SaaS évolue à une vitesse vertigineuse, et le maintien de la sécurité peut sembler difficile.

Ben Verghese, directeur technique d'Illumio, l'explique dans son Forbes article, Comment trouver un équilibre entre sécurité et innovation rapide dans le développement SaaS. Si le SaaS a ouvert la voie à une innovation rapide, il a également ouvert de nouvelles surfaces d'attaque que nous ne pouvons pas nous permettre d'ignorer.

« Les développeurs SaaS doivent être plus proactifs et plus vigilants en matière de sécurité tout au long du cycle de vie du logiciel », déclare Verghese.

Si vous construisez rapidement, vous feriez mieux de sécuriser intelligemment. Dans les configurations sur site traditionnelles, vous disposiez de pare-feux de centre de données semblables à des forteresses pour protéger vos joyaux de la couronne. Mais dans le SaaS, vous devez laisser certaines portes ouvertes à l'accès à distance, ce qui signifie qu' « une partie de la protection offerte par les pare-feux traditionnels des centres de données est perdue », explique Verghese.

C'est là Confiance zéro entre. Ben le compare à un hôtel : toutes les clés n'ouvrent pas toutes les portes.

« Le personnel de nettoyage ne peut entrer dans les chambres qu'à des heures précises, le personnel de maintenance doit obtenir une autorisation préalable et les clients ont un accès illimité à leurs chambres », indique-t-il. C'est le type de contrôle d'accès granulaire et contextuel dont nous avons besoin pour intégrer le SaaS moderne.

Mais Verghese souligne que le développement de logiciels libres complique cet effort. C'est la pierre angulaire du développement moderne, permettant aux développeurs d'assembler facilement et rapidement des applications. Cette commodité s'accompagne de risques.

« Les nouvelles versions présentent souvent plus de problèmes en raison d'une exposition limitée », explique Verghese. Les vulnérabilités des modules tiers n'apparaissent souvent que lorsque vous êtes déjà en ligne. C'est pourquoi la sécurité ne se limite pas à la fin. « Une mauvaise décision ou un raccourci peut avoir des effets néfastes. »

Quelle est la solution ? Intégrez la sécurité à votre infrastructure en tant que code. Cela signifie définir non seulement ce qui est déployé, mais qui peut y accéder et comment. Comme le dit Verghese, « Lors de l'ajout d'un nouveau service, les développeurs doivent se demander : « Qui dépend de ce service ? De qui dépend ce service ? » et modifiez les spécifications de sécurité en conséquence. »

Il s'agit de déplacement vers la gauche — en intégrant Zero Trust à votre architecture dès le premier jour, sans avoir à vous bousculer après une faille. Si vous le faites, vous ne vous contenterez pas de suivre le rythme de l'innovation, vous la sécuriserez.

Au cœur de la lutte acharnée entre les États et le gouvernement fédéral en matière de cybertalents

La guerre des talents dans le domaine de la cybersécurité est terminée. Aujourd'hui, les États affrontent le gouvernement fédéral.

DansLe « Wall Street Journal »un article Les États se disputent les cybertravailleurs fédéraux, Angus Loten discute avec Gary Barlet, directeur technique d'Illumio Federal Field, de la manière dont les gouvernements des États recrutent de manière agressive des cyberprofessionnels auprès des agences fédérales.

L'un des changements les plus importants est le travail à distance. Les États peuvent désormais s'en prendre à des fédéraux expérimentés talent en cybersécurité sans vous soucier de la géographie. Et les experts fédéraux en sécurité, épuisés par les formalités administratives et attirés par des rôles qui évoluent rapidement, répondent à l'appel.

« Il est devenu très intéressant de rechercher des emplois en dehors du périphérique », explique Barlet. « Et les États sont enfin en mesure de faire face à la concurrence. »

Barlet indique clairement qu'il ne s'agit pas seulement de savoir qui peut payer le plus, même si les États essaient. C'est une question d'impact et d'autonomie. « Les gens veulent faire la différence, et ils se rendent compte qu'ils peuvent le faire au niveau de l'État, sans toute la bureaucratie », explique Barlet.

Cette tendance est particulièrement préoccupante pour les agences fédérales, qui ont passé des années à renforcer leur personnel informatique pour voir les meilleurs talents sortir.

Barlet, qui a précédemment travaillé comme inspecteur général et CISO fédéral, connaît cette douleur de première main. Il prévient que le gouvernement fédéral doit repenser la manière dont il attire et retient les cybertalents. « S'ils ne modernisent pas les systèmes de recrutement et de promotion, ils continueront à perdre des personnes au profit d'emplois où elles pourront évoluer plus rapidement et avoir plus de contrôle », affirme-t-il.

La lutte pour les cybertalents ne se limite plus au secteur fédéral et au secteur privé. C'est le fédéral contre tout le monde. Alors que les cybermenaces deviennent de plus en plus complexes, la capacité du secteur public à se défendre peut dépendre de sa capacité à empêcher ses meilleurs collaborateurs de quitter le navire.

Zero Trust est un état d'esprit, pas une technologie

Zero Trust est désormais une approche de sécurité courante. Mais beaucoup se trompent encore.

Magazine Infosecuritya récemment approfondi le sujet, Reality Check de Zero Trust : relever les défis de mise en œuvre, indique clairement que Zero Trust n'est pas un produit, une case à cocher ou une solution miracle en matière de cybersécurité.

« Toute entreprise ou fournisseur qui prétend proposer un produit Zero Trust ment ou ne comprend pas du tout le concept », explique John Kindervag, créateur de Zero Trust et évangéliste en chef chez Illumio. »

Le passage au travail à distance et hybride, ainsi que des facteurs réglementaires tels que Décret exécutif 14028 de Biden et le Directive européenne NIS2, a accéléré la tendance vers le Zero Trust. Mais des idées fausses persistent.

De nombreuses entreprises apposent le label « Zero Trust » sur leurs solutions et leurs stratégies et mettent fin à cette journée. En réalité, il s'agit d'un changement d'état d'esprit, pas simplement d'une mise à jour technologique. Comme l'explique Trevor Dearing, directeur marketing des solutions industrielles d'Illumio : « Zero Trust n'est pas une fin en soi. C'est un bon moyen de renforcer votre résilience et de vous permettre de poursuivre vos activités. »

Zero Trust, c'est résilience, pas l'invincibilité. Il est inévitable que les attaquants contournent de mieux en mieux les contrôles d'identité. Mais Zero Trust vise à limiter le rayon d'action lorsqu'une brèche se produit.

« Il doit y avoir une règle qui autorise quelqu'un à accéder à une zone », explique Kindervag. « Si cette règle n'est pas en place, peu importe la complexité de l'attaque, car elle ne permet tout simplement pas qu'elle se produise. »

Qu'est-ce que Mise en œuvre de Zero Trust Ressemblez à ? Commencez par ce qui compte : votre « surface à protéger ».

« Faites-le une surface de protection à la fois », explique Kindervag. Cela le rend itératif, non perturbateur et plus facile à gérer.

Si vous pensez pouvoir accéder à Zero Trust, vous êtes déjà en retard. Vous avez besoin d'un état d'esprit approprié, de contrôles fondamentaux et d'une volonté de considérer la sécurité comme un élément vivant et respirant de votre infrastructure. Ou, comme le dit Dearing, Zero Trust ne vous aidera pas seulement à survivre. Bien fait, c'est ce qui permettra à votre entreprise de prospérer.

Illumio obtient une note de 5 étoiles dans le guide du programme de partenariat CRN 2025

Nous sommes ravis que CRN ait reconnu le Programme de partenariat Illumio Enlighten avec une note de cinq étoiles dans son nouveau Guide du programme de partenariat 2025.

C'est un témoignage majeur du travail que nous accomplissons avec nos partenaires et de l'importance que nous accordons à l'établissement de relations stratégiques solides de part et d'autre de la Manche.

Alors que les menaces liées aux rançongiciels et aux mouvements latéraux ne cessent d'augmenter, la segmentation n'est plus simplement un avantage, c'est une nécessité. Et nous essayons de permettre à nos partenaires de fournir cette valeur plus facilement que jamais.

Nous avons conçu le programme de partenariat Illumio pour qu'il soit simple, flexible et qu'il soutienne la croissance de nos partenaires. De l'enregistrement et de la validation des offres au co-marketing et à la formation pratique, nous sommes tous déterminés à faire en sorte que nos partenaires soient prêts à gagner.

La reconnaissance du CRN confirme ce que nous entendons chaque jour de la part de nos partenaires. Illumio ne se contente pas d'aider les organisations à contenir les breaches. Nous aidons nos partenaires à créer de la dynamique, à créer de la valeur et à gagner plus d'affaires. Et nous ne faisons que commencer !

Contactez-nous dès aujourd'hui pour savoir comment Illumio peut vous aider à contenir la propagation des breaches et des attaques de rançongiciels.