Le 12 mai 2021, le président Biden a signé le décret présidentiel sur l'amélioration de la cybersécurité nationale. Élaboré à la suite de la violation très préjudiciable de la chaîne d'approvisionnement du logiciel SolarWinds Orion, ce décret ordonne à plusieurs agences du gouvernement fédéral américain de mieux coordonner leurs efforts en matière de prévention, de détection, de réponse et d'atténuation des incidents et des violations de sécurité en :
- Supprimer les obstacles au partage des informations sur les menaces
- Modernisation des technologies et des pratiques du gouvernement fédéral en matière de cybersécurité
- Renforcer la sécurité de la chaîne logistique des logiciels
- Établir et normaliser le guide du gouvernement fédéral pour la gestion des vulnérabilités et la réponse aux incidents
- Améliorer la détection des vulnérabilités et des incidents liés à la cybersécurité sur les réseaux du gouvernement fédéral
- Améliorer les capacités d'enquête et de remédiation du gouvernement fédéral
Ce décret présidentiel (EO) s'appuie sur les précédents décrets présidentiels relatifs à la cybersécurité et exige des agences qu'elles établissent des normes uniformes basées sur le NIST, dont l'application débutera en mai 2022.
Étant donné que ce décret présidentiel introduit plusieurs nouvelles exigences en matière de gestion des risques liés aux tiers que les agences fédérales doivent mettre en œuvre, cet article se concentre sur la section 4 intitulée « Renforcement de la sécurité de la chaîne d'approvisionnement logicielle ». Si les fournisseurs de logiciels ne sont pas en mesure de satisfaire à ces exigences, ils seront retirés du règlement fédéral sur les acquisitions, ce qui signifie qu'ils ne pourront plus vendre leurs produits au gouvernement. Le gouvernement fédéral publiera ces exigences, y compris les critères de test et d'évaluation, dans le courant de l'année.
Comment la gestion des risques liés aux tiers s'applique au décret présidentiel
Les systèmes informatiques critiques du gouvernement fédéral sont depuis longtemps la cible d'attaques menées par des États-nations. Les acteurs malveillants savent que le moyen le plus simple et le moins sécurisé d'accéder aux systèmes fédéraux passe souvent par des services et des logiciels tiers. Les fournisseurs tiers ne disposent pas toujours des processus ou des contrôles nécessaires pour détecter les activités ou les codes malveillants, et peuvent potentiellement exposer un large éventail d'informations sensibles.
Les technologies et processus tiers de gestion des risques peuvent aider à respecter les directives du décret présidentiel qui exigent des organisations qu'elles évaluent et rendent compte de la sécurité des logiciels. Les critères du décret présidentiel comprennent l'évaluation des contrôles de sécurité des développeurs et des fournisseurs, ainsi que la documentation démontrant le respect des pratiques de sécurité.
Le tableau ci-dessous résume certaines des exigences les plus importantes en matière de gestion des risques liés aux tiers abordées dans le décret présidentiel, ainsi que les capacités recommandées par Prevalent pour évaluer les pratiques des fournisseurs.
| Directives EO | Capacités recommandées |
|---|---|
| 4 (e) (i) (A) à (F)
Ces directives doivent inclure des normes, des procédures ou des critères concernant : |
Lorsque vous évaluez les pratiques de sécurité des logiciels tiers, tirez parti des modèles de questionnaires d'évaluation des risques standardisés et reconnus par le secteur, notamment le Standard Information Gathering (SIG), le NIST, le CMMC et les évaluations connexes. L'utilisation d'une évaluation standardisée unique pour l'ensemble de vos fournisseurs permet aux agences de comparer plus efficacement les pratiques de sécurité logicielle de leurs fournisseurs.
Remarque : les agences peuvent également tirer parti des réseaux d'échange, qui contiennent des évaluations des risques de sécurité déjà réalisées, afin d'accélérer le processus d'identification des risques. |
| 4 (e) (ii)
(ii) générer et, à la demande d'un acheteur, fournir des artefacts qui démontrent la conformité aux processus énoncés au paragraphe (e)(i) de la présente section ; |
Lorsque vous évaluez les pratiques de développement logiciel sécurisé d'un tiers, assurez-vous de disposer des capacités nécessaires pour centraliser les preuves à l'appui grâce à une gestion intégrée des tâches et des acceptations, ainsi qu'à des fonctionnalités de téléchargement obligatoires. Un référentiel de documents sécurisé garantit que les parties concernées peuvent examiner la documentation et les artefacts en conséquence. |
| 4 (e) (iii)
(iii) utiliser des outils automatisés ou des processus comparables pour maintenir des chaînes d'approvisionnement fiables en code source, garantissant ainsi l'intégrité du code ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
| 4 (e) (iv)
(iv) utiliser des outils automatisés ou des processus comparables qui vérifient les vulnérabilités connues et potentielles et les corrigent, lesquels doivent fonctionner régulièrement, ou au minimum avant la sortie d'un produit, d'une version ou d'une mise à jour ; |
Les tiers doivent analyser, trier et corriger les vulnérabilités de leurs logiciels et codes, puis en attester. Mais les menaces ne s'arrêtent pas là. Les équipes de sécurité doivent également surveiller Internet et le dark web à la recherche de cybermenaces, d'identifiants divulgués ou d'autres indicateurs de compromission qui, s'ils ne sont pas détectés, peuvent ouvrir la voie à des intrusions dans les systèmes fédéraux. |
| 4 (e) (v)
(v) fournir, à la demande d'un acheteur, des artefacts de l'exécution des outils et processus décrits aux sous-sections (e)(iii) et (iv) de la présente section, et rendre publiques des informations sommaires sur l'achèvement de ces actions, y compris une description sommaire des risques évalués et atténués ; |
Le reporting est ici essentiel. Les équipes fédérales chargées de la sécurité informatique devraient être en mesure de révéler les tendances en matière de risques, leur statut, les mesures correctives et les exceptions aux comportements courants pour les fournisseurs individuels ou les groupes grâce à des informations issues de l'apprentissage automatique. Cela permettrait aux équipes d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie. |
| 4 (e) (vi)
(vi) maintenir des données précises et à jour, la provenance (c'est-à-dire l'origine) du code ou des composants logiciels, et les contrôles sur les composants logiciels internes et tiers, les outils et les services présents dans les processus de développement logiciel, et effectuer des audits et appliquer ces contrôles de manière récurrente ; |
Les équipes informatiques fédérales devraient être en mesure de mettre automatiquement en correspondance les informations recueillies lors des audits internes avec les normes ou les cadres réglementaires applicables dans le cadre de ce décret présidentiel, notamment le NIST, le CMMC et autres, afin de visualiser et de traiter rapidement les lacunes importantes en matière de contrôle, et d'attester des pratiques. Mise en place d'un programme de gestion des risques liés aux tiers conforme au décret présidentiel sur l'amélioration de la cybersécurité nationale |
| 4 (e) (vii)
(vii) fournir à l'acheteur une nomenclature logicielle (SBOM) pour chaque produit, soit directement, soit en la publiant sur un site web public ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
| 4 (e) (viii)
(viii) participer à un programme de divulgation des vulnérabilités qui comprend un processus de signalement et de divulgation ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
| 4 (e) (ix)
(ix) attestant la conformité avec les pratiques de développement de logiciels sécurisés ; et |
Voir 4 (e) (ii) ci-dessus. Alors que les exigences énoncées dans le décret présidentiel sur l'amélioration de la cybersécurité nationale prendront forme l'année prochaine, le moment est venu pour les éditeurs de logiciels informatiques de mettre en place ou de perfectionner leurs propres programmes de gestion des risques liés aux tiers. Les principaux éléments à prendre en considération sont les suivants : |
| 4 (e) (x)
(x) garantir et attester, dans la mesure du possible, l'intégrité et la provenance des logiciels libres utilisés dans toute partie d'un produit. |
Voir 4 (e) (vi) ci-dessus. Identifier les fournisseurs considérés comme essentiels et concentrer les efforts d'évaluation sur ceux qui présentent le risque le plus inhérent à vos opérations. |
- Évaluer régulièrement les pratiques sécurisées du cycle de vie du développement logiciel des principaux tiers qui contribuent au code ou aux mises à jour de vos versions finales.
- Surveiller en permanence le dark web, les discussions entre hackers et autres forums connexes à la recherche d'activités liées à vos tiers.
- Triage et correction des résultats des évaluations et des contrôles
- Centralisation de la documentation et des rapports destinés aux auditeurs
Prevalent peut vous aider. Nous proposons une solution SaaS qui automatise les tâches critiques nécessaires pour identifier, évaluer, analyser, corriger et surveiller en permanence les risques liés à la sécurité, à la confidentialité, aux opérations, à la conformité et aux achats des tiers à chaque étape du cycle de vie des fournisseurs. Pour en savoir plus sur la manière dont Prevalent peut vous aider, consultez nos capacités TPRM pour le décret présidentiel sur l'amélioration de la cybersécurité nationale ou contactez-nous dès aujourd'hui pour discuter d'une stratégie.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
