lundi, 4 mars 2024

Les identifications numériques sont synonymes de changements gérables et critiques, déclare la FIDO aux dirigeants fédéraux américains en matière de sécurité

Estimant clairement qu’elle vendait l’authentification numérique aux autorités chargées de la sécurité des données au sein de la bureaucratie fédérale américaine guidée par l’inertie, un panel de l’Alliance FIDO s’exprimant lors d’un webinaire a passé beaucoup de temps à les informer de ne pas paniquer. . De nouvelles procédures anti-hameçonnage sont en préparation

, a déclaré le panel, mais elles offrent des niveaux de flexibilité utiles et ne nécessitent pas de remplacer les informations d’identification traditionnelles de confirmation d’identité personnelle (PIV) et l’accès commun aux cartes. . Les membres de l’alliance, dans un livre blanc d’accompagnement

, ont stipulé que la mise en œuvre du signe unique -on, la gestion du cycle de vie et les évaluations des menaces liées à l’identité numérique « sont des enjeux de table pour les applications fédérales Zero Trust et des conditions préalables aux versions FIDO du gouvernement fédéral américain. » La table ronde a suivi la publication du livre blanc, qui est à la fois

complet et de haut niveau, offrant aux bureaucrates une assistance pour libérer l’authentification FIDO. Les deux sont le résultat d’une demande de la Maison Blanche visant à accélérer les systèmes et processus FIDO. Ce qui a été réellement livré est plus nuancé. Si les PIV et les CAC répondent déjà à vos exigences, c’est formidable », a déclaré Tom Clancy, ingénieur du chercheur Mitre du gouvernement fédéral et panéliste. » Considérez l’authentification FIDO comme un remplacement de l’authentification phishable », a déclaré Clancy, « et non comme un remplacement des

PIV et CAC. « Le livre blanc indique que l’objectif doit être de « réduire » les techniques utilisées par les employés du gouvernement pour l’authentification multifacteur. Une meilleure méthode consisterait à restreindre les méthodes inefficaces. Les informations d’identification numérique et la gestion des accès doivent inclure toute action qui résiste à le phishing, qui fait partie de la méthode absolument sans confiance du gouvernement fédéral.

. Les agences doivent déterminer quel authentificateur FIDO correspond le mieux à leurs besoins, a déclaré Zach Martin, panéliste et consultant politique principal au cabinet d’avocats Venable. Clancy et Martin a été inscrit au panel du webinaire par Teresa Wu d’Idemia, qui est également coprésidente du groupe de travail sur la mise en œuvre du gouvernement fédéral de l’Alliance FIDO, Lisa Palma de LC&J Security Solutions et Joe Scalone de Yubico. Le rapport suggère que les entreprises mènent des projets pilotes. pour les nouveaux authentificateurs et effectuer certaines procédures comprenant la révocation des informations d’identification et l’accès au contrôle.

Les évaluations des risques d’identification numérique, ou DIRA, doivent également être exécutées comme moyens reproductibles pour évaluer les traitements anti-hameçonnage pour plusieurs ressources dans différents contextes.

Clancy a déclaré que la procédure DIRA est particulièrement cruciale lorsque l’exécution échoue sur des barrières culturelles. Clancy a déclaré que le personnel pourrait pousser de faux choix, comme par exemple que les cartes PIV et les mots de passe soient les

seuls choix. Une évaluation des menaces fournira une vision plus impartiale et plus ouverte des options.

Certainement, a-t-il déclaré, « dans certaines entreprises, il y a une réticence à approuver des options ». Cela pourrait « contribuer à une dépendance à l’égard de dérogations ou d’authentifications risquées » comme les mots de passe

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici