cybersecurite
Produits et Services PRODUITS & SERVICES

Renforcer la cybersécurité dans les écoles et bibliothèques : présentation du CPP (Cybersecurity Pilot Program) de la FCC

Nous vous accompagnons pour toute RFP (Request For Proposal) ou soumission du Form 470 dans le cadre du CPP (Cybersecurity Pilot Program).
Texte écrit par
Products & Services

En juillet 2024, la FCC (Federal Communications Commission) a lancé un CPP (Cybersecurity Pilot Program) d’une durée de trois ans, allouant 200 millions de dollars de financement fédéral pour soutenir certaines écoles et bibliothèques publiques à travers les États-Unis. Le programme pilote fonctionnera de 2025 à 2028.

Cette initiative vise à évaluer l’efficacité de l’intégration des solutions de cybersécurité dans le Programme E-rate, qui a historiquement exclu de tels services.

Le CPP permet à environ 700 candidats sélectionnés de mettre en œuvre des outils et des services de cybersécurité essentiels, contribuant ainsi à renforcer leur résilience face aux cybermenaces croissantes. Le projet pilote vise à soutenir les futures initiatives de cybersécurité financées par le gouvernement fédéral dans les secteurs de l’éducation et pour les bibliothèques.

Priorités de financement et éligibilité

Afin d’aider les participants à définir stratégiquement leurs budgets, la FCC a publié une liste préliminaire des services admissibles. Bien que non exhaustive, cette orientation privilégie les catégories de solutions suivantes :

  • Pare-feu Next-Gen (NGFW)
  • Protection Endpoint
  • Protection des identités et authentification
  • MDR (Managed Detection and Response)

Ces catégories reflètent un large consensus au sein du secteur sur les composants essentiels pour établir une base solide en matière de cybersécurité.

Tendances et observations en matière d’achat

L’analyse d’environ 250 dépôts de Form 470 FCC publiés indique que la plupart des candidats donnent la priorité aux solutions NGFW, MDR et IAM (Identity and Access Management). Ces catégories sont conformes aux directives de la FCC et aux bonnes pratiques plus larges en matière de cybersécurité.

Le Form 470 alerte les fournisseurs de services potentiels qu’une organisation admissible recherche des offres pour des services et des solutions admissibles dans le cadre du programme. Il s’agit de l’avis public officiel requis avant que les candidats puissent évaluer les propositions et procéder à l’achat.

Bien que les appareils NGFW soient entièrement éligibles au CPP, leurs services d’abonnement et de support ne restent généralement que partiellement éligibles selon les directives standard du Programme E-rate. Le programme pilote offre la possibilité de financer des solutions globales qui étaient auparavant strictement affectées à des coûts ou bien exclues.

Les technologies IAM sont largement approuvées par les frameworks fédéraux et sectoriels, notamment la CISA (Cybersecurity and Infrastructure Security Agency) et le CIS (Center for Internet Security), comme étant essentielles à la protection de l’accès aux réseaux et aux systèmes. Les services MDR, lorsqu’ils sont mis en œuvre efficacement, offrent des capacités de détection, d’analyse et de réponse aux menaces 24h/24 qui peuvent réduire considérablement l’exposition aux risques d’une organisation.

Recommandations en matière de planification stratégique

Les participants au programme sont encouragés à adopter une approche stratégique lors de l’allocation des fonds afin de garantir des améliorations mesurables de la posture de cybersécurité. Avant d’émettre des demandes d’achat, les parties prenantes doivent :

  • Effectuer un examen complet des besoins en matière de cybersécurité.
  • Évaluer une gamme de solutions potentielles adaptées aux lacunes identifiées.
  • Donner la priorité aux solutions ayant un impact direct sur la mitigation des risques et la résilience.

Un financement supplémentaire, bien que toujours bienvenu, introduit de nouveaux choix et options, et il peut être difficile d’identifier la meilleure façon d’utiliser le budget pour obtenir des résultats de sécurité optimaux. De nombreuses options sont envisageables et les organisations peuvent ne pas être conscientes de toutes les solutions possibles ou des différentes opportunités en matière d’investissement.

Nous encourageons les institutions à explorer à l’avance les solutions disponibles et à identifier les domaines dans lesquels le financement aura le plus grand impact avant de publier les appels d’offres.

Impliquer les fournisseurs de solutions dès le début du processus peut fournir des conseils précieux sur les services éligibles et les stratégies de déploiement qui maximisent le retour sur investissement dans le cadre des directives du programme.

Mesures clés pour une bonne à la préparation à la cybersécurité

En plus de tirer parti du financement du CPP, les institutions devraient prendre en compte les bonnes pratiques suivantes en matière de cybersécurité dans le cadre d’une stratégie globale de gestion des risques :

  • Utiliser l’authentification multifacteur (MFA).
  • Réaliser des exercices de simulation d’attaque de ransomware pour évaluer les capacités de réponse.
  • Tester et valider les systèmes de sauvegarde et de récupération de données.
  • Examiner et mettre à jour régulièrement les plans de réponse aux incidents.
  • Évaluer la sensibilisation des utilisateurs grâce à des simulations de phishing et à un renforcement de la formation.
  • S’assurer que les polices de cyberassurance reflètent bien les menaces actuelles et le contexte dans lequel s’inscrit les activités de l’entreprise.

Conclusion

Le CPV (Cybersecurity Pilot Program) représente une avancée significative dans le renforcement de l’infrastructure numérique des écoles et des bibliothèques publiques. En prenant des décisions stratégiques et éclairées en matière d’investissement, les organisations participantes ont une occasion unique d’améliorer leur posture de cybersécurité tout en contribuant à l’évaluation plus large du financement de la cybersécurité dans le cadre du Programme E-rate.

L’équipe du secteur public de Sophos possède une vaste expérience pour aider les établissements d’enseignement et les bibliothèques à naviguer dans les programmes de financement et à optimiser leurs investissements en matière de cybersécurité.

Sophos Protected Classroom est spécialement conçu pour répondre aux besoins de sécurité évolutifs des environnements des écoles et des bibliothèques, en offrant une protection complète grâce à des technologies avancées telles que le MDR (Managed Detection and Response), la protection des identités et les pare-feu Next-Gen.

Nous sommes heureux de pouvoir vous accompagner dans votre processus de planification et d’explorer des solutions adaptées à vos besoins.

Si vous préparez une RFP ou une soumission de Form 470 dans le cadre du CPP (Cybersecurity Pilot Program), nous vous encourageons à nous contacter pour discuter de la meilleure manière d’atteindre vos objectifs et de vous aider à tirer le meilleur parti de cette opportunité de financement.

Billet inspiré de Advancing cybersecurity for K-12 and libraries: Strategic considerations for the FCC Cybersecurity Pilot Program, sur le Blog Sophos.

À propos de l’auteur

Rob Lalumondier is the vice president of federal business at Sophos. He previously served as the executive director of McAfee’s federal civilian and intelligence business unit, and as the director of defense and intelligence at Intel Corporation. He also served as a captain in the U.S. Army during Operation Iraqi Freedom and Operation Enduring Freedom. Lalumondier holds a Bachelor of Science in Systems Engineering from the U.S. Military Academy at West Point and a Master of Business Administration from Cornell University, where he is a Roy H. Park Leadership Fellow.

Lire des articles similaires