Alors que les cybermenaces augmentent en nombre et en intensité et prennent un large éventail de nouvelles formes, les organisations commencent à accorder de plus en plus d'attention à la sécurité du courrier électronique. C'est particulièrement vrai pour les organisations qui travaillent avec des données gouvernementales sensibles. Une seule cyberattaque, petite ou grande, peut être dévastatrice pour la réputation d'un gouvernement donné et mettre en danger la population entière (en particulier dans le cas des pays et régions déchirés par des conflits).
C'est pourquoi le Federal Risk and Authorization Management Program (FedRAMP) a commencé à consacrer beaucoup d'attention et d'efforts à l'établissement de normes et de protocoles d'authentification du courrier électronique, en mettant particulièrement l'accent sur le DMARC (Domain-based Message Authentication, Reporting, and Conformance). Cet article vous le dira :
- Qu'est-ce que la conformité FedRAMP ?
- Le rôle de DMARC dans la conformité FedRAMP
- Comment mettre en œuvre DMARC pour les systèmes conformes à FedRAMP ?
- Étapes nécessaires à la mise en œuvre et au respect de la législation
- Défis liés à la mise en œuvre de DMARC dans le cadre de FedRAMP
Qu'est-ce que la conformité FedRAMP ?
FedRAMP est une certification d'autorisation rigoureuse pour les fournisseurs de services en nuage et les plateformes basées sur le nuage qui fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. Le programme de conformité de FedRAMP a été mis en place dès 2011 pour soutenir l'initiative "Cloud First" du gouvernement fédéral. L'objectif de "Cloud First" était d'accélérer l'adoption de solutions cloud sécurisées dans les agences fédérales.
Les principaux objectifs de la conformité FedRAMP sont les suivants :
- Normaliser l'approche de l'évaluation de la sécurité et de l'autorisation dans toutes les agences fédérales et assurer une cohérence maximale entre les différentes parties prenantes.
- Mettre en œuvre des contrôles de sécurité stricts et des mécanismes de surveillance pour établir la confiance des agences fédérales dans les solutions en nuage.
- Réduire au minimum les doubles évaluations de la sécurité afin d'économiser des ressources financières et non financières.
- Faire preuve de souplesse face à l'évolution constante des cybermenaces et apporter les changements nécessaires en temps réel.
Phases de la conformité FedRAMP
Maintenant que vous connaissez les objectifs clés de la conformité FedRAMP, il est également important de connaître les différentes phases de la conformité FedRAMP.
- Au cours de la première phase, les fournisseurs de services en nuage (CSP) sont tenus de mettre en œuvre les contrôles de sécurité nécessaires et de documenter leur système dans un plan de sécurité du système (SSP).
- Dans la deuxième phase, celle de l'évaluation, une organisation d'évaluation tierce (3PAO) effectue une évaluation indépendante de la sécurité.
- Ensuite, le bureau de gestion du programme FedRAMP (PMO) examine attentivement le dossier de sécurité et accorde une autorisation d'exploitation (ATO).
Il est important de mentionner que les FSC doivent veiller en permanence au respect des normes de sécurité requises par le biais d'évaluations et d'ajustements réguliers.
Le rôle de DMARC dans la conformité FedRAMP
DMARC est un élément important, voire indispensable, de la sécurité du courrier électronique dans le cadre de FedRAMP. FedRAMP exige que toutes les offres de services en nuage (CSO) qui envoient des courriels au nom du gouvernement fédéral mettent en œuvre des politiques DMARC exécutoires.. Cette exigence n'est qu'une des nombreuses Directive opérationnelle contraignante (BOD) 18-01 émises par l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA).
Les raisons de l'intégration de DMARC sont nombreuses et multiples. Tout d'abord, DMARC est d'une aide précieuse dans le processus de détection et de prévention des attaques par hameçonnage. En vérifiant la légitimité de l'identité de l'expéditeur, DMARC garantit que les destinataires peuvent se fier à l'origine des courriels fédéraux. Les informations fournies par les rapports DMARC réguliers permettent également aux agences d'identifier d'importantes lacunes en matière de sécurité et d'y remédier avant qu'il ne soit trop tard. Cela permettra non seulement d'accroître la confiance des destinataires, mais aussi d'améliorer la délivrabilité des messages électroniques fédéraux, garantissant ainsi que les messages importants parviennent au public cible prévu.
Comment mettre en œuvre DMARC pour les systèmes conformes à FedRAMP ?
Vous trouverez ci-dessous une description détaillée de la mise en œuvre de DMARC pour la conformité FedRAMP. Le processus comprend plusieurs étapes et composants importants.
- La première étape consiste à procéder à une évaluation approfondie de l'infrastructure de messagerie électronique actuelle. Effectuer un audit complet de tous les domaines et sous-domaines utilisés pour envoyer des courriels au nom du gouvernement fédéral, en identifiant toutes les sources d'envoi de courriels (par exemple, les services tiers). Cette évaluation initiale doit comprendre un aperçu de la configuration actuelle de l'authentification du courrier électronique, telle que toute configuration SPF, DKIM ou autre existante.
- La phase de mise en œuvre de SPF et DKIM devrait comprendre la configuration des enregistrements SPF pour tous les domaines concernés et la mise en place de la signature DKIM pour les courriels sortants. Avant de passer à la phase de mise en œuvre du DMARC, il convient de tester les configurations SPF et DKIM et de s'assurer qu'elles sont correctement mises en place.
- Passons maintenant à la phase de mise en œuvre de DMARC. La publication d'un enregistrement DMARC dans votre DNS doit suivre les paramètres ci-dessous :
- p=reject (c'est-à-dire que les courriels qui ne répondent pas aux critères DMARC doivent être rejetés)
- pct=100 (c'est-à-dire que la politique doit être appliquée à 100 % des courriels)
- Les adresses électroniques de la rua doivent comprendre mailto:[email protected]
- Pour des configurations de serveur de messagerie précises, assurez-vous que tous les courriels sortants sont correctement alignés sur les configurations DMARC, SPF et DKIM, et veillez à ce que l'adresse From de l' enveloppe soit correctement alignée.
- Documentez toujours la mise en œuvre de DMARC dans l'annexe A du plan de sécurité du système (SSP), conformément à FedRAMP Rev5. Veillez à inclure les détails dans les contrôles appropriés :
- SI-8 pour les lignes de base élevées et modérées
- SI-5 pour les logiciels à faible impact et LiSaaS (Low Impact Software as a Service)
- Vous pouvez toujours utiliser les outils de vérification des enregistrements outils de vérification des enregistrements DMARC pour vous aider à configurer correctement votre DNS. Vous pouvez également envoyer des courriels de test à partir de différentes sources pour vérifier l'application de DMARC et même fabriquer vous-même des tentatives d'usurpation d'identité pour garantir la sécurité en cas d'attaques réelles.
- Examinez attentivement l'agrégat DMARC (RUA) et judiciaire (RUF), en identifiant les menaces potentielles pour la sécurité et en apportant les ajustements nécessaires à vos configurations.
Pour plus d'informations sur la mise en œuvre de DMARC dans un OSC autorisé par FedRAMP, cliquez ici.
Défis liés à la mise en œuvre de DMARC dans le cadre de FedRAMP
La mise en œuvre de DMARC dans le cadre de FedRAMP présente de nombreux avantages, mais aussi de nombreux défis.
Avoir un domaine et un sous-domaine
Défi : La plupart des organisations ont plus d'un domaine et d'un sous-domaine. Ce qui rend le processus encore plus difficile, c'est que chacun de ces domaines et sous-domaines peut utiliser différents services de messagerie.
Solution : Dressez la carte de l'ensemble de votre écosystème, avec une vue d'ensemble détaillée de tous les domaines et sous-domaines, et créez un plan de mise en œuvre par étapes afin d'assurer progressivement la conformité de chacun d'entre eux.
Utilisation de services par des tiers
Défi : Les FSC ont souvent recours à des services tiers pour diverses communications par courrier électronique.
Solution : Ne collaborez qu'avec des fournisseurs tiers dignes de confiance et demandez-leur de mettre en œuvre la signature DKIM et l'alignement correct de l'enveloppe sur l'adresse "From".
Anciens systèmes de courrier électronique
Défi: Certaines entités peuvent utiliser des systèmes de messagerie électronique si anciens qu'ils ne peuvent pas prendre en charge DKIM et les protocoles d'authentification modernes.
Solution: Comme il peut être très coûteux de mettre à jour ou de changer complètement l'infrastructure de votre système de courrier électronique existant, vous pouvez essayer de mettre en œuvre des passerelles de courrier électronique pour ajouter des en-têtes d'authentification aux courriels sortants de vos anciens systèmes de courrier électronique.
Contrôle continu
Défi : Comme FedRAMP vous demande de contrôler en permanence vos politiques DMARC, vous devrez constamment traiter et analyser de grands volumes de rapports DMARC. Cela peut prendre beaucoup de temps, de ressources financières et de travail humain, et vous faire perdre du temps que vous pourriez consacrer à d'autres tâches importantes.
Solution : Pour réduire le temps et les ressources consacrés au traitement et à l'analyse des rapports DMARC, vous pouvez utiliser des outils tels que l'analyseur de rapports DMARC gratuit de PowerDMARC qui rendra le processus plus rapide et plus efficace.
Mettre en place les protocoles et mécanismes nécessaires
Défi : Il peut être très difficile, surtout dans la phase initiale de mise en œuvre, de mettre en place et de configurer tous les protocoles et mécanismes nécessaires à l'authentification du courrier électronique et à la conformité FedRAMP.
Solution : Vous pouvez choisir de collaborer avec des plateformes de sécurité d'authentification des courriels établies et fiables, telles que PowerDMARC. Ces plateformes offrent souvent des solutions tout-en-un et disposent de leurs propres équipes d'experts informatiques qui peuvent prendre en charge tous les processus d'installation et de configuration, afin que vous puissiez avoir l'esprit tranquille tout en garantissant la conformité.
En résumé
Même si la mise en œuvre de DMARC dans le cadre de FedRAMP s'accompagne de plusieurs défis et difficultés potentiels, il est important de noter que la plupart de ces défis, si ce n'est tous, peuvent être facilement surmontés si vous collaborez avec des professionnels fiables. De plus, une fois que vous aurez réussi à mettre en œuvre DMARC et les autres protocoles, vous réaliserez rapidement que les avantages d'une authentification précise des courriels l'emportent largement sur les défis, les coûts ou les barrières technologiques.
L'amélioration de la sécurité de la messagerie électronique pour les fournisseurs de services en nuage contribuera non seulement à garantir la conformité et l'adhésion au FedRAMP, mais ajoutera également une couche importante de sécurité à vos communications gouvernementales, améliorant votre réputation et renforçant le sentiment de sécurité au sein de votre population. L'engagement des pouvoirs publics en faveur de pratiques sécurisées en matière de messagerie électronique constitue une étape importante vers des écosystèmes numériques plus sains et de meilleure qualité, ainsi que vers une diminution de la probabilité de cyberattaques réussies.
Contactez-nous dès aujourd'hui si vous souhaitez en savoir plus sur la mise en œuvre correcte de DMARC pour votre organisation, que ce soit dans le cadre de FedRAMP ou au-delà, et nous vous aiderons à obtenir les meilleurs résultats dans les plus brefs délais !
- PowerDMARC s'intègre à ConnectWise - 31 octobre 2024
- Qu'est-ce que la sécurité de la couche transport du datagramme (DTLS) : Avantages et défis - 29 octobre 2024
- DMARC et FedRAMP : améliorer la sécurité du courrier électronique - 28 octobre 2024