Comment pouvez-vous vous assurer que vos résultats ne soient pas compromis par le mémo de l'OMB ?

Tous Les Articles

Barak Brudo

Le gouvernement américain est en train de repenser sa politique de cybersécurité. Cela inclut la publication de Cadre de développement logiciel sécurisé (SSDF) version 1.1 par le National Institute of Standards and Technology (NIST), qui vise à réduire les vulnérabilités de sécurité tout au long du cycle de vie du développement logiciel (SDLC).

Le document fournit aux éditeurs de logiciels et aux acquéreurs «un ensemble de base de pratiques de développement logiciel sécurisées de haut niveau qui peuvent être intégrées dans chaque implémentation SDLC. » 

Un premier projet de cadre a été publié en septembre 2021, suivi de la version finale en février 2022, qui ne contenait que mises à jour mineures. Le SSDF combine les recommandations des meilleures pratiques pour la sécurité SDLC tout en restant personnalisable et indépendant du secteur. 

Ce n'est pas un document qui prescrit des méthodologies fixes pour chaque pratique. Au lieu de cela, il se concentre sur les résultats plutôt que sur des outils, techniques et mécanismes spécifiques. Le SSDF promeut une approche basée sur les risques, dans laquelle les organisations sont encouragées à consulter des références et d'autres ressources pour déterminer quelles pratiques sont pertinentes pour leurs opérations et comment elles doivent être mises en œuvre.

Le SSDF comprend des recommandations dans les domaines suivants :

  • S'assurer que les personnes, les processus et la technologie d'une organisation sont préparés pour le développement de logiciels sécurisés
  • Protéger tous les composants logiciels contre la falsification et/ou l'accès non autorisé
  • Publier un logiciel sécurisé avec des vulnérabilités de sécurité minimales
  • Identifier toute vulnérabilité après la publication et y répondre de manière appropriée

Les recommandations deviennent rapidement des directives

En partenariat avec le secteur privé, le NIST a été chargé de créer le SSDF en Executive Order 14028, « Améliorer la cybersécurité de la nation ». L’ordonnance ordonne également au Bureau de la gestion et du budget (OMB) de, dans les 30 jours suivant sa publication, «prendre les mesures appropriées pour exiger que les agences se conforment à ces directives en ce qui concerne les logiciels acquis après la date de la présente commande."

Le 7 Marsth, 2022, la CAMO a publié une déclaration qui comprenait ce qui suit : «Les agences fédérales doivent commencer à adopter le SSDF et les directives associées avec effet immédiat, en l'adaptant au profil de risque et à la mission de l'agence. 

Par conséquent, bien que le SSDF soit une liste de recommandations, il doit être suivi par toutes les organisations fournissant des logiciels au gouvernement américain. Même s’il ne constitue pas une obligation légale pour tout développement logiciel, le SSDF représente néanmoins une étape considérable dans la politique américaine de cybersécurité.

Compte tenu du pouvoir d'achat du gouvernement américain, en tant que consommateur massif de logiciels externes, on suppose que ces recommandations se répercuteront sur le reste de l'industrie, devenant ainsi la norme pour le développement de logiciels aux États-Unis. En conséquence, toute organisation envisageant de postuler au gouvernement américain les contrats doivent apprendre à adhérer au SSDF, et toute organisation cherchant à opérer avec succès aux États-Unis devra probablement également s'y conformer.

Mémo de l'OMB sur les priorités en matière de cybersécurité

Le SSDF n’est pas la seule nouveauté dans la politique américaine de cybersécurité. Le gouvernement américain a récemment demandé aux agences de mettre l’accent sur de nouvelles priorités, notamment la mise en œuvre d’une approche de confiance zéro et la modernisation des systèmes informatiques existants.

Faisant suite au décret 14028, l'OMB et le Bureau du directeur national de la cybersécurité (ONCB) ont publié un note sur Juillet 22nd, 2022, décrivant les priorités inter-agences du gouvernement américain en matière d'investissement en matière de cybersécurité pour les propositions budgétaires au cours de l'exercice 2024.

Il décrit trois priorités dans lesquelles les agences du pouvoir exécutif civil fédéral (FCEB) devraient investir. L'OMB et l'ONCD examineront la réponse de chaque agence et fourniront des commentaires pour garantir «les priorités sont correctement prises en compte et cohérentes avec la stratégie globale de cybersécurité et la planification pluriannuelle des agences d'aide aux politiques par le biais du processus budgétaire ordinaire."

Les trois priorités en matière de cyberinvestissement sont :

#1 : Améliorer la défense et la résilience des réseaux gouvernementaux

La note demande aux agences FCEB de prioriser mise en œuvre de la confiance zéro ainsi que Modernisation informatique.

Le modèle de sécurité Zero Trust décrit la mise en œuvre de systèmes informatiques dans lesquels chaque utilisateur ou appareil n'est pas approuvé par défaut. Les architectures typiques vérifient une fois, puis autorisent les utilisateurs ou les appareils à accéder au réseau. En revanche, les architectures Zero Trust vérifient tout et n’importe quoi dans le système.

La stratégie fédérale Zero Trust est décrite dans son propre Mémo de l'OMB, sorti le 26 janvierth, 2022. La stratégie exige que toutes les agences gouvernementales atteignent des objectifs spécifiques de confiance zéro d’ici la fin de l’exercice 2024. 

Il espère «atteindre une base de référence cohérente à l'échelle de l'entreprise pour la cybersécurité, fondée sur les principes du moindre privilège, en minimisant la surface d'attaque et en concevant des protections autour de l'hypothèse selon laquelle les périmètres de l'agence doivent être considérés comme compromis. »

Il s’agit d’un changement important pour les agences gouvernementales : à l’avenir, elles devront analyser tous les logiciels qu’elles utilisent (qu’ils soient créés en interne ou provenant d’un fournisseur externe) pour s’assurer qu’ils répondent aux exigences de sécurité Zero Trust.

La modernisation informatique fait référence au nombre considérable de systèmes existants utilisés par les agences gouvernementales et à la dette technique qu'ils contractent. Projets de budget pour 2024 »devrait donner la priorité aux modernisations technologiques qui intègrent la sécurité pendant la phase de conception, ainsi que tout au long du cycle de vie du système.

Ceci comprend :

  • Accélérer l’adoption d’une infrastructure cloud sécurisée qui exploite une architecture Zero Trust
  • Déployer des produits, services et normes fédéraux partagés pour permettre des expériences client sûres
  • Utiliser des technologies de sécurité partagées et participer au programme de diagnostic et d'atténuation continus du ministère de la Sécurité intérieure.
  • Partage de sensibilisation entre les équipes de sécurité et d’exploitation informatique
  • Utiliser des pratiques de développement Agile et intégrer le SSDF

#2 : Approfondir la collaboration intersectorielle pour la défense des infrastructures critiques

La protection contre les cybermenaces modernes nécessitera une collaboration considérable entre les secteurs privé et public. L’OMB demande au FCEB de nouer des partenariats en priorisant les responsabilités de l’Agence de gestion des risques sectoriels (SRMA) et en partageant les informations via les centres de cybersécurité.

Les agences doivent donner la priorité à la création de méthodes et de mécanismes qui facilitent la collaboration avec les propriétaires d’infrastructures critiques afin d’atténuer les menaces potentielles. Les SRMA devraient également fournir des demandes de budget qui «refléter des ressources adéquates pour s’acquitter de leurs responsabilités en vertu de l’article 9002 de la Loi sur l’autorisation de la défense nationale de 2021.» Plus précisément, les soumissions doivent :

  • Permettre aux SRMA de collaborer étroitement avec la Cybersecurity and Infrastructure Security Agency (CISA) et d’autres SRMA
  • Permettre au gouvernement et à l’industrie d’échanger des informations
  • Améliorer la compréhension des risques de sécurité nationale pour chaque secteur

#3 : Renforcer les fondations de notre avenir numérique

La dernière priorité demande au FCEB de donner la priorité aux risques liés à l’infrastructure physique, au capital humain et à la chaîne d’approvisionnement alors qu’une part croissante de l’économie américaine subit une transformation numérique.

  • Infrastructure physique 

La récente loi sur l’investissement dans les infrastructures et l’emploi (IIJA) représente un investissement énorme de la part du gouvernement américain. L’OMB demande aux agences FCEB de soutenir tout effort visant à sécuriser les infrastructures contre les cyberattaques. Cela comprend l’élaboration de normes de cybersécurité et la fourniture d’un soutien technique pour les nouveaux projets.

  • Capital humain

Pour contrer les cybermenaces, les agences sont encouragées à investir dans des talents informatiques et dans de nouveaux outils promouvant les compétences numériques de l'ensemble du personnel.

  • Risque lié à la chaîne d’approvisionnement logicielle

Sécurité de la chaîne d'approvisionnement logicielle devient un risque croissant en matière de cybersécurité. En conséquence, les agences fédérales sont actuellement tenues de mettre en place des initiatives de gestion des risques de la chaîne d'approvisionnement (SCRM) lors des acquisitions, en particulier pour celles dans le domaine des technologies et services de l'information et des communications (TICS). Bien que cette exigence expire fin 2023, il reste législation en attente cela le prolongera jusqu’en 2026.

Les agences devraient maintenir les investissements SCRM de l'année dernière et cibler de nouvelles ressources. Au-delà du renforcement des capacités d'acquisition du gouvernement fédéral, le gouvernement joue également un rôle important dans la gestion des risques liés à la chaîne d'approvisionnement nationale des TIC.

La note de l'OMB indique : «Dans les présentations du budget pour l’exercice 2024, les agences devraient mettre en évidence les investissements qui soutiennent un effort national visant à atténuer les niveaux de risque indus ou inacceptables pour la sécurité économique et la sécurité nationale des États-Unis.« Cela inclut les investissements concernant Executive Order 13873, « Sécuriser la chaîne d'approvisionnement des technologies et des services de l'information et des communications. »

La politique américaine en matière de cybersécurité évolue rapidement ; êtes-vous équipé pour suivre le rythme ?

une image d'un léopard chassant une gazelle

Face aux exigences croissantes en matière de cybersécurité, les sociétés de développement de logiciels souhaitant opérer aux États-Unis doivent s’assurer de pouvoir s’adapter avec succès aux nouvelles directives.

Le SSDF est déjà entré en vigueur et les organisations doivent connaître les nouvelles directives de développement logiciel qu'elles sont censées suivre. Le SSDF promeut une série de mesures qui réduisent l'exposition aux vulnérabilités et aux accès non autorisés dans l'ensemble du SDLC tout en encourageant également la transparence. Ceci comprend:

  • Validation des artefacts
  • Signer numériquement des artefacts
  • Suivi des fichiers pour les modifications et génération de preuves
  • Valider chaque composant dans l'artefact logiciel final

Le dernier mémo de l’OMB sur les priorités d’investissement en matière de cybersécurité met non seulement l’accent sur l’adoption du SSDF, mais présente également une série de priorités pour les agences gouvernementales. Le plus important pour les développeurs de logiciels est la mise en œuvre d’une architecture Zero Trust dans l’ensemble des logiciels utilisés par le FCEB. Ce mémo entre en vigueur en 2024, les organisations devant adapter leurs produits n'ont donc pas beaucoup de temps pour se préparer.

Bien que les nouvelles exigences décrites dans la note de l'OMB ne s'appliquent qu'aux organisations cherchant à passer des contrats avec les agences FCEB, la direction du voyage suggère que de nouvelles directives en matière de cybersécurité seront probablement adoptées pour tous les entrepreneurs fédéraux, comme indiqué dans le décret 14028.

Les organisations qui tardent à s’adapter risquent de passer à côté des affaires du gouvernement américain et potentiellement d’autres clients américains. Il est maintenant temps de mettre en œuvre un modèle de sécurité Zero Trust et d’apprendre les meilleures pratiques SSDF. 

Résumé

Le gouvernement américain fait preuve d’avancées significatives en matière de politique de cybersécurité. Alors que le SSDF est déjà en vigueur et que les nouvelles priorités de l'OMB en matière de cybersécurité entreront en vigueur en 2024, les organisations qui souhaitent continuer à opérer aux États-Unis doivent apprendre et respecter de nombreuses nouvelles directives.

bannière 

Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.

articles similaires

Une image illustrant le code approuvé
Utilisation de l’attaque de l’application de bureau 3CX pour illustrer l’importance du logiciel de signature et de vérification

Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]

shutterstock_2223617299
Recherche parallèle sur les vulnérabilités GitHub

Le mois dernier, je suis tombé sur cet article de Dark Reading. Cela semblait très familier. Il ne m'a pas fallu longtemps pour réaliser que la vulnérabilité d'empoisonnement des artefacts entre workflows de GitHub évoquée dans l'article présentait une ressemblance frappante avec la vulnérabilité d'empoisonnement du cache entre workflows de GitHub dont nous avons parlé en mars 2022. Workflows GitHub : un composant clé de GitHub […]

Image de dés de risque
Utiliser SBOM et Feeds Analytics pour sécuriser votre chaîne d'approvisionnement logicielle

« Les éditeurs de logiciels doivent être tenus responsables lorsqu'ils ne respectent pas le devoir de diligence qu'ils ont envers les consommateurs, les entreprises ou les fournisseurs d'infrastructures critiques » (Maison Blanche). Aujourd'hui, tout fournisseur de logiciels est censé assumer une plus grande responsabilité pour garantir l'intégrité et la sécurité des logiciels par le biais d'accords contractuels, de versions et de mises à jour de logiciels, de notifications et […]

Messages populaires
Outils SBOM à la rescousse – le cas de porte dérobée XZ UtilsÉtapes pratiques pour protéger votre pipeline MLOpsDu chaos à la clarté : naviguer dans Policy Engine pour la conformitéQu’est-ce que l’ASPM ?®
Catégories