En BigIDeas en mouvementSam Visner, directeur du Centre national de recherche et de développement financé par le gouvernement fédéral en cybersécurité (FFRDC) au MITRE, parle des technologies de cybersécurité innovantes qui aident les entreprises à respecter les normes de l'industrie, de l'avenir d'une infrastructure de données interconnectée et de l'intersection entre la sécurité et la confidentialité personnelle.
De la NSA au secteur privé, en passant par quelques passages, Visner a principalement bâti son expérience sur la sécurité nationale. Aujourd'hui, au sein du MITRE, une organisation à but non lucratif œuvrant dans l'intérêt public, il met cette expérience au service des entreprises et des infrastructures critiques du pays pour « améliorer leur cybersécurité » en adoptant des technologies innovantes et disponibles sur le marché.
Connecter les entreprises à une technologie de sécurité innovante
Les priorités actuelles sur le radar de Visner incluent l'amélioration de l'intégrité du processus électoral à venir et « travailler très spécifiquement sur la cybersécurité de l'infrastructure de santé du pays » - un effort qui est d'une importance particulière à la lumière de la pandémie actuelle.
« L’hypothèse », explique Visner, « est qu’une entreprise de soins de santé, une chaîne qui gère des hôpitaux, une entreprise qui gère un service de transport, n’a pas accès à une technologie de cybersécurité hautement classifiée. »
Ces entreprises doivent identifier les technologies actuellement disponibles sur le marché. Visner a notamment pour mission d'identifier ces technologies et produits, en particulier ceux qui sont innovants et peuvent être « assemblés en un seul produit ». architecture, une structure » conçue pour aider diverses industries à répondre aux exigences de sécurité qui leur sont applicables.
Pour y parvenir efficacement, il faut adopter une approche prospective et être capable d'évaluer les technologies dans le contexte d'une nouvelle infrastructure mondiale « où les entreprises résideront à l'avenir ». Le monde adopte une technologie de l'information commune, ce qui nécessite un cadre transversal.
Par exemple, explique Visner, « pensez aux objets connectés (IoT) : jusqu’à un million d’appareils par kilomètre carré. La 5G affectera tous les secteurs d’activité. L’IoT touche tous les secteurs. Nous avons beaucoup travaillé sur les pompes à perfusion, des appareils connectés à des êtres humains, mais aussi à l’infrastructure informatique de l’hôpital. Ainsi, si vous êtes dans un hôpital et que vous êtes connecté à un appareil, il s’agit probablement d’un appareil IoT ; et à l’avenir, ces appareils seront connectés à une dorsale 5G. »
Les données de ces appareils finiront par passer par les applications d'IA, et ces applications aideront à leur tour à gérer ces différents appareils.
« Le grand problème n’est pas seulement la sécurité des élections ou des soins de santé, mais la sécurisation de l’écosystème informatique global dans lequel se déroulent les élections, les systèmes de santé, la prochaine génération d’infrastructures de transport intelligentes, le réseau électrique intelligent et les villes intelligentes. »
Le rôle du NIST et le défi de définir le succès
Alors que nous évoluons vers un écosystème plus unifié, mesurer le succès et l'impact quantifiable « est une chose très difficile à faire, car il s'agit d'un environnement très dynamique et il n'a pas de résultats déterministes », explique Visner.
À ce stade, le succès réside dans « des preuves de plus en plus nombreuses que les industries appliquent les contrôles et le cadre préconisés par le NIST [National Institute of Standards and Technology's Cybersecurity Framework] ».
Bien que les normes de sécurité aient une grande incidence sur le travail de Visner, l'élaboration de normes en elle-même ne relève pas de sa compétence. « Nous travaillons avec une partie de NIST qui aide l'industrie et l'infrastructure commerciale du pays à répondre aux normes auxquelles elles doivent se conformer. » Cela se fait au moyen de guides de pratique spécifiques à l'industrie qui montrent comment les solutions technologiques s'adaptent normes particulières pour une industrie donnée — ainsi que des détails sur la manière de faire fonctionner ensemble les produits commerciaux.
Pour la création de ces guides, la liste des priorités est en grande partie établie par le gouvernement ; par exemple, les prochaines élections et la crise sanitaire sont prioritaires. Parallèlement, « nous collaborons également avec l'industrie pour recueillir ses commentaires sur les problèmes qu'elle rencontre. »
Même s’il n’est pas encore possible de proposer une mesure quantitative du succès, « nous constatons que l’industrie est devenue plus sérieuse et plus déterminée ».
Confidentialité et sécurité : où se croisent-elles ?
Avec le quantité de données générées — et surtout avec l'arrivée imminente de la 5G — les préoccupations en matière de confidentialité surgissent inévitablement. « Chaque citoyen mérite de pouvoir utiliser l'environnement numérique en toute sécurité », déclare Visner. « Il est donc nécessaire que nous fournissions une cybersécurité qui respecte également la vie privée des utilisateurs. »
Avec le évolution croissante de réglementations telles que GDPR et CCPA« Vous devez être en mesure d'expliquer comment vous conservez les données [d'une personne concernée], où vous conservez ses données et, si elle vous demande de vous débarrasser de ses données, de pouvoir démontrer que vous l'avez fait. »
À l'avenir, prédit Visner, « nous allons voir un nouvel écosystème IP » dans lequel les appareils IoT en réseau généreront « une quantité incroyable de données ». Ces données seront analysées par l'apprentissage automatique qui détectera des modèles et l'IA consommera ces modèles et, à leur tour, guider ces infrastructures.
Ce que cela suggère en fin de compte, compte tenu d'une infrastructure de données mondiale plus interconnectée, c'est que « la problématique de la confidentialité et celle de la cybersécurité convergent. La capacité à garantir la sécurité des informations et des appareils est l'autre facette du respect de la vie privée des personnes dans cette nouvelle infrastructure interconnectée », explique Visner.
« Donc, d’un point de vue pratique, je ne pense pas que vous puissiez résoudre un problème sans résoudre l'autre. Et si vous pensez que vous pouvez résoudre un problème sans l’autre, je pense que nous n’avons pas fait le bon choix.
Écouter le podcast pour en savoir plus sur les prédictions de Visner sur l'avenir de la cybersécurité.
Auteur
