Le Centre d’innovation logicielle du Communications-Electronics Command (CECOM ASIC), en partenariat avec la Warfighting Acquisition University et le C5ISR Center, a développé un outil d’intelligence artificielle qui accélère considérablement la transition de l’armée américaine vers un cadre de cybersécurité Zero Trust. Cette avancée soutient l’objectif du Département de la Défense d’atteindre un niveau cible Zero Trust d’ici l’année fiscale 2027.
Zero Trust est une stratégie de cybersécurité fondée sur l’hypothèse que les réseaux sont constamment exposés à des risques. Plutôt que de faire confiance aux appareils présents dans le réseau, cette approche exige l’authentification et l’autorisation de chaque utilisateur et dispositif avant d’accéder aux données. La mise en œuvre généralisée de cette méthode sur l’ensemble des systèmes de l’armée représente un défi majeur, mais elle est essentielle pour maintenir la préparation opérationnelle.
« De nombreuses organisations savent qu’elles ont besoin de Zero Trust, mais je pense qu’elles sont souvent submergées par l’incertitude quant à par où commencer », explique Farhat Shah, expert en cybersécurité au sein de CECOM ASIC.
Lors de l’événement organisé par la Warfighting Acquisition University, intitulé Operationalizing Zero Trust – Leveraging Risk Management Framework and Artificial Intelligence, qui s’est tenu le 13 mai, Shah a présenté les enjeux et solutions liés à ce défi.
Le projet a débuté par une analyse approfondie de cinq mois visant à établir une correspondance entre les 91 activités Zero Trust et les milliers d’identifiants de corrélation de contrôle (Control Correlation Identifiers, CCI) présents dans le cadre de gestion des risques de l’armée (Risk Management Framework, RMF). Cette méthode permet d’aligner précisément les actions au niveau des CCI, que Shah qualifie d’éléments « critiques » car ils sont opérationnels et testables lors des évaluations RMF. Cette démarche aide les responsables des systèmes à réutiliser leurs travaux de conformité existants pour vérifier leur position en matière de Zero Trust.
« Notre objectif est de réduire les doublons dans les efforts », précise Shah. « Nous voulons économiser du temps et des ressources en tirant parti du travail déjà accompli et, surtout, réduire les risques de manière contrôlable et durable. Il s’agit d’aligner stratégie, gouvernance et technologie. »
L’innovation principale réside dans AI Flow, un environnement d’intelligence artificielle développé par CECOM ASIC. Cet outil traite les résultats des tests RMF d’un système et automatise l’analyse pour générer un profil de référence Zero Trust. Lors d’une évaluation pilote sur le système d’information de gestion alimentaire de l’armée, l’IA a réalisé la revue en environ cinq minutes, contre une semaine pour un expert humain, avec un taux de précision de 89 %.
Le système fonctionne à l’aide de deux agents : le premier vérifie la conformité. En cas de non-conformité, le second agent effectue une analyse approfondie, identifie les lacunes spécifiques et fournit des recommandations claires, incluant des références aux politiques et documents requis. Ainsi, le contrôle de conformité simple devient un processus d’ingénierie détaillé étape par étape.
À l’approche de l’échéance fixée pour 2027, CECOM ASIC recherche à collaborer avec d’autres responsables de systèmes pour élargir les capacités de l’outil et les aider à évaluer rapidement leur posture Zero Trust.
« En affinant continuellement ce processus, nous ne faisons pas que perfectionner l’outil, nous construisons une approche répétable et évolutive pour soutenir l’adoption de Zero Trust à l’échelle de l’ensemble de l’organisation », rappelle Shah. « Si vous souhaitez faire avancer l’automatisation Zero Trust ou découvrir comment cette méthode peut bénéficier à votre structure, je vous invite à collaborer avec CECOM ASIC pour évaluer et améliorer ce processus. »
Cette intégration des cadres existants avec l’intelligence artificielle propose une feuille de route évolutive et fondée sur les données, permettant à l’armée de sécuriser ses systèmes et de protéger ses informations face aux menaces numériques en constante évolution.
