Face à la montée des menaces de cybersécurité avancées et à l'instabilité géopolitique mondiale, de nombreuses organisations gouvernementales ont introduit une législation clé et des obligations obligatoires en matière de cybersécurité pour les services financiers, l'énergie, les soins de santé et d'autres services essentiels.
Pour protéger ces secteurs clés, le gouvernement australien a d'abord introduit le Security of Critical Infrastructure (SOCI) Act 2018 (loi sur la sécurité des infrastructures critiques) et a récemment modifié cette loi avec le Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 (Projet de loi 2024 sur la sécurité des infrastructures critiques et d'autres lois). Le projet de loi ERP 2024 prévoit des obligations obligatoires en matière de cybersécurité, de sécurité de la chaîne d'approvisionnement et de personnel, afin de protéger l'identité nationale de l'Australie et de donner la priorité à la sécurité de l'identité.
SOCI Act 2018 et ERP Bill 2024 exigent des capacités de gestion des identités et des accès (IAM) et de gouvernance et d'administration des identités (IGA), ainsi que des contrôles de conformité qui préviennent les risques, détectent les menaces et maintiennent la conformité. Passons en revue les industries qui répondent à ces obligations et exigences obligatoires, les capacités que l'IC doit mettre en œuvre et certaines mesures immédiates que les organisations doivent prendre.
SOCI Act 2018 et ERP Bill 2024 s'appliquent aux organisations travaillant dans les secteurs suivants :
- Services et marchés financiers
- Stockage ou traitement des données
- Industrie de la défense
- Enseignement supérieur et recherche
- Énergie
- Alimentation et épicerie
- Soins de santé et médecine
- Technologie spatiale
- Transport, y compris les moyens aériens et maritimes
- Eau et assainissement
En plus de Exigences de la loi SOCI 2018, Le gouvernement australien peut déclarer à titre privé qu'une infrastructure critique donnée est un système d'importance nationale (SoNS). Les organisations SoNS sont soumises à des exigences supplémentaires en matière de cybersécurité, qui sont détaillées dans la loi australienne sur la cybersécurité (Australia's Cadre renforcé des obligations en matière de cybersécurité.
Le SOCI Act 2018 énumère cinq obligations clés pour les opérateurs d'infrastructures critiques :
- Obligation de notifier les fournisseurs de services de données. (Loi SOCI, paragraphe 12(F))
- Registre des infrastructures critiques (Partie 2)
- Programme de gestion des risques (PGR) (Partie 2A)
- Déclaration obligatoire des incidents cybernétiques (Partie 2B)
- Obligations renforcées en matière de cybersécurité (ECSO) (Partie 2C)
L'IAM et l'IGA sont essentiels pour répondre aux exigences du programme de gestion des risques, à la déclaration obligatoire des incidents cybernétiques et aux obligations de cybersécurité renforcées :
En vertu de cette obligation, tous les actifs de l'IC doivent maintenir un programme de gestion des risques. Ce programme exige spécifiquement des opérateurs d'infrastructures critiques qu'ils identifient et atténuent les risques matériels découlant des menaces liées à la cybersécurité, à la chaîne d'approvisionnement, au personnel et à la sécurité physique. Cela signifie que les organisations de CI doivent mettre en place des contrôles d'accès appropriés pour les identités et les systèmes.
Pour satisfaire à ces obligations, les exploitants d'infrastructures critiques doivent s'assurer qu'ils disposent des contrôles suivants :
- Identification, authentification et autorisation de l'utilisateur pour garantir que seules les personnes autorisées y ont accès
- Contrôles d'accès basés sur les rôles (RBAC) pour n'accorder l'accès qu'en cas de besoin, pour simplifier les révisions d'accès et les audits de rôles, et pour appliquer la séparation des tâches (SoD).
- Capacités d'audit, y compris le contrôle de l'activité des utilisateurs afin de détecter les infractions ou l'utilisation abusive des systèmes.
- Gestion du cycle de vie des identités avec automatisation des processus d'intégration, de modification des accès et d'abandon des employés.
- Renforcer les contrôles d'accès privilégiés afin de limiter les fonctions à haut risque au plus petit nombre de personnes.
Cette obligation impose de signaler les incidents de cybersécurité dans les 12 heures si l'incident a un impact significatif sur la disponibilité du bien d'infrastructure critique ou dans les 72 heures pour les incidents dont l'impact n'est pas immédiatement perturbateur.
Pour répondre aux exigences en matière de rapports et remplir ces obligations, les exploitants d'infrastructures critiques doivent :
- Visibilité immédiate sur la surveillance en temps réel et les contrôles d'accès pour détecter les accès non autorisés ou les tentatives de connexion suspectes.
- Capacités permettant aux opérateurs d'établir une corrélation entre les causes profondes des incidents et les identités
- Conformité démontrable pour la poursuite de l'enquête sur l'incident à la suite d'un rapport ou au cours d'un audit
Exigences renforcées en matière de cybersécurité des SNS
Les systèmes désignés comme biens du SoNS ont des obligations supplémentaires à respecter en matière de cybersécurité. Ces obligations exigent que le SoNS dispose de plans de réponse aux incidents de cybersécurité, d'évaluations périodiques de la vulnérabilité et qu'il soit en mesure de fournir au gouvernement l'accès aux informations du système, y compris toutes les informations relatives à l'identité et à la journalisation de l'accès, sur demande.
Les fonctionnalités de l'IGA aident les organisations à respecter ces obligations en fournissant des audits et des rapports complets, notamment des journaux d'accès en temps réel, une visibilité sur les accès privilégiés et la possibilité de s'intégrer dans des outils de gestion des informations et des événements de sécurité (SIEM).
Les organisations australiennes de CI et de SoNS doivent mettre en œuvre les capacités et les meilleures pratiques suivantes pour répondre aux exigences du programme de gestion des risques du SOCI Act 2018, à la déclaration obligatoire des cyberincidents et aux obligations renforcées en matière de cybersécurité :
- Adopter des politiques de contrôle d'accès. Appliquer les principes d'accès au moindre privilège et de confiance zéro en utilisant le contrôle d'accès basé sur les rôles (RBAC) pour faire correspondre les autorisations aux fonctions.
- Sécuriser toutes les identités avec l'authentification multifactorielle (MFA) ou l'authentification sans mot de passe. Exiger de tous les utilisateurs des infrastructures critiques qu'ils disposent d'un système d'authentification multifonctionnelle ou qu'ils adoptent un système d'authentification par mot de passe/clé de passe.
- Utiliser l'analyse comportementale en temps réel, le suivi et l'alerte détecter les comportements d'accès anormaux pouvant indiquer la compromission d'un compte et protéger contre les menaces internes grâce à des alertes en temps réel
- Assurer la séparation des fonctions (SoD) pour prévenir les conflits d'intérêts dans les rôles (par exemple, empêcher un seul utilisateur d'approuver et d'exécuter des transactions).
Les acteurs de la menace exploitent de plus en plus les faiblesses des contrôles d'identité, ce qui fait de l'IAM et de l'IGA des éléments essentiels de la stratégie de sécurité nationale de l'Australie. Le SOCI Act représente une évolution significative dans la manière dont l'Australie protège les infrastructures critiques contre les menaces.
Bien que la conformité puisse sembler difficile, une approche unifiée de l'IAM et de l'IGA aide non seulement les organisations CI à respecter leurs obligations réglementaires, mais améliore aussi considérablement la sécurité opérationnelle, réduit les risques et assure une résilience à long terme.
RSA Security aide les organisations d'infrastructures critiques à sécuriser leurs identités et à répondre aux exigences de conformité :
RSA® ID Plusoffre les fonctionnalités de sécurité de gestion des identités et des accès (IAM) dont les infrastructures critiques ont besoin pour prévenir les prises de contrôle de comptes, les attaques par ransomware et autres cyberattaques. La solution offre :
- Authentification sans mot de passe et résistante à l'hameçonnage pour mettre fin aux attaques basées sur les informations d'identification
- Politiques d'accès adaptatives qui bloquent les tentatives de connexion suspectes en temps réel
- Authentification multifactorielle sécurisée (MFA) qui concilie sécurité et facilité d'accès pour les employés du secteur public
- Analyse des risques pilotée par l'IA qui détecte les tentatives d'accès anormales et y répond avant qu'elles ne se transforment en menaces.
RSA® Gouvernance et cycle de viefournit les capacités IGA dont les infrastructures critiques ont besoin pour faciliter et sécuriser la gestion du cycle de vie des identités pour l'ensemble des utilisateurs et des utilisateurs.
des appareils. La solution :
- Automatise l'intégration, la désinscription et les changements d'accès pour garantir que les utilisateurs disposent du bon accès au bon moment.
- Appliquer des contrôles d'accès basés sur les rôles (RBAC) pour empêcher l'usurpation de privilèges.
- Élimine les approbations manuelles en rationalisant les demandes d'identité grâce à des flux de travail automatisés.
- garantit la suppression immédiate de l'accès lorsque les employés quittent leur poste ou changent de rôle, réduisant ainsi les menaces internes
Depuis plus de 40 ans, RSA aide les organisations CI et de sécurité à protéger leurs actifs. Alors que les cybermenaces sont de plus en plus sophistiquées et que les exigences en matière de conformité deviennent plus strictes, les organisations CI doivent prendre des mesures proactives pour sécuriser les identités, prévenir les attaques et maintenir la résilience opérationnelle. Contacter l'ASR pour en savoir plus sur la façon dont RSA fournit une gamme de solutions IAM qui répondent aux réglementations SOC Act et s'intègrent dans une stratégie plus large de sécurité de l'identité.
