Gestion des risques liés aux tiers dans le cadre du décret sur l'amélioration de la cybersécurité nationale

Le gouvernement fédéral américain va exiger de tous les fournisseurs de technologies de l'information et de technologies opérationnelles qu'ils répondent à des critères spécifiques pour garantir la sécurité de leurs chaînes d'approvisionnement. Comment les fabricants de logiciels doivent-ils évaluer leurs chaînes d'approvisionnement ?
Par :
Scott Lang
,
VP, Marketing produit
02 juin 2021
Partager :
Blog eo nations cybersécurité 0621

Le 12 mai 2021, le président Biden a signé le décret sur l'amélioration de la cybersécurité de la nation. Élaboré à la suite de la très préjudiciable violation de la chaîne d'approvisionnement du logiciel Orion de SolarWinds, ce décret ordonne à plusieurs agences du gouvernement fédéral américain de mieux coordonner la prévention, la détection, la réponse et l'atténuation des incidents et des violations de la sécurité, en prenant les mesures suivantes

  • Supprimer les obstacles au partage des informations sur les menaces
  • Modernisation des technologies et des pratiques de cybersécurité du gouvernement fédéral
  • Renforcer la sécurité de la chaîne d'approvisionnement en logiciels
  • Établir et normaliser le cahier des charges du gouvernement fédéral en matière de vulnérabilité et de réponse aux incidents.
  • Améliorer la détection des vulnérabilités et des incidents en matière de cybersécurité sur les réseaux du gouvernement fédéral
  • Amélioration des capacités d'enquête et d'assainissement du gouvernement fédéral

Ce décret s'appuie sur les précédents décrets relatifs à la cybersécurité et exige des agences qu'elles établissent des normes uniformes fondées sur le NIST, dont l'application débutera en mai 2022.

Étant donné que cet EO introduit plusieurs nouvelles exigences en matière de gestion des risques liés aux tiers que les agences fédérales doivent mettre en œuvre, ce post se concentre sur la section 4. Renforcer la sécurité de la chaîne d'approvisionnement des logiciels. Si les fournisseurs de logiciels ne sont pas en mesure de répondre à ces exigences, ils seront retirés du règlement d'acquisition du gouvernement fédéral - ce qui signifie qu'ils ne peuvent plus vendre au gouvernement. Le gouvernement fédéral publiera ces exigences, y compris les critères de test et d'évaluation, plus tard dans l'année.

Comment la gestion des risques liés aux tiers s'applique au décret présidentiel ?

Les systèmes informatiques critiques du gouvernement fédéral sont depuis longtemps la cible d'attaques de l'État. Les acteurs malveillants savent que le chemin le plus facile et le moins sûr vers les systèmes fédéraux passe souvent par des services et des logiciels tiers. Les fournisseurs tiers peuvent ne pas disposer des processus ou des contrôles nécessaires pour détecter les activités ou les codes malveillants, et ils peuvent potentiellement exposer un large éventail d'informations sensibles.

Lestechnologies et les processus de gestion des risques par des tiers peuvent aider à répondre aux directives du décret exigeant que les organisations évaluent la sécurité des logiciels et en rendent compte. Les critères de l'EO comprennent l'évaluation des contrôles de sécurité des développeurs et des fournisseurs, ainsi que la documentation qui démontre l'adhésion à des pratiques sécurisées.

Le tableau ci-dessous résume certaines des exigences les plus importantes en matière de gestion des risques liés aux tiers abordées dans l'EO, ainsi que les capacités recommandées par Prevalentpour évaluer les pratiques des fournisseurs.

Orientation de l'OT Capacités recommandées

4 (e) (i) (A)-(F)

Ces orientations comprennent des normes, des procédures ou des critères concernant :
(i) les environnements de développement de logiciels sécurisés, y compris des actions telles que :
(A) l'utilisation d'environnements de construction administrativement séparés ;
(B) l'audit des relations de confiance ;
(C) la mise en place d'une authentification multifactorielle fondée sur les risques et d'un accès conditionnel dans l'ensemble de l'entreprise ;
(D) documenter et minimiser les dépendances aux produits de l'entreprise qui font partie des environnements utilisés pour développer, construire et modifier les logiciels ;
(E) le recours au cryptage des données ; et
(F) surveiller les opérations et les alertes et répondre aux tentatives et aux incidents réels de cyber ;

Lors de l'évaluation des pratiques de sécurité logicielle des tiers, tirez parti des modèles de questionnaires d'évaluation des risques normalisés acceptés par l'industrie, notamment le Standard Information Gathering (SIG), le NIST, le CMMC et les évaluations connexes. L'utilisation d'une seule évaluation standardisée pour l'ensemble de vos fournisseurs permet aux agences de comparer plus efficacement les pratiques de sécurité logicielle de leurs fournisseurs.

Remarque : les agences peuvent également tirer parti des réseaux d'échange, qui contiennent des évaluations des risques de sécurité déjà réalisées, afin d'accélérer le processus d'identification des risques.

4 (e) (ii)

(ii) produire et, à la demande d'un acheteur, fournir des artefacts qui démontrent la conformité aux processus énoncés au paragraphe (e)(i) de cette section ;

Lorsque vous évaluez les pratiques de développement de logiciels sécurisés d'un tiers, assurez-vous que vous avez la capacité de centraliser les preuves à l'appui avec une gestion intégrée des tâches et des acceptations, ainsi que des fonctions de téléchargement obligatoire. Un dépôt de documents sécurisé garantit que les parties concernées peuvent examiner la documentation et les artefacts en conséquence.

4 (e) (iii)

(iii) l'utilisation d'outils automatisés, ou de processus comparables, pour maintenir des chaînes d'approvisionnement en code source de confiance, garantissant ainsi l'intégrité du code ;

Voir 4 (e) (i) (A)-(F) ci-dessus.

4 (e) (iv)

(iv) l'utilisation d'outils automatisés, ou de processus comparables, qui vérifient les vulnérabilités connues et potentielles et y remédient, et qui fonctionnent régulièrement, ou au moins avant la sortie d'un produit, d'une version ou d'une mise à jour ;

Les tiers doivent analyser, trier et corriger les vulnérabilités de leurs logiciels et codes, et en attester. Mais les menaces ne s'arrêtent pas là. Les équipes de sécurité doivent également surveiller l'Internet et le dark web à la recherche de cyber menaces, de fuites d'informations d'identification ou d'autres indicateurs de compromission qui peuvent ouvrir des voies d'accès aux systèmes fédéraux s'ils ne sont pas détectés.

4 (e) (v)

(v) fournir, à la demande d'un acheteur, les artefacts de l'exécution des outils et des processus décrits aux paragraphes (e)(iii) et (iv) de cette section, et mettre à la disposition du public des informations sommaires sur l'achèvement de ces actions, afin d'inclure une description sommaire des risques évalués et atténués ;

L'établissement de rapports est essentiel ici. Les équipes de sécurité informatique fédérales devraient être en mesure de révéler les tendances en matière de risques, l'état d'avancement, les mesures correctives et les exceptions au comportement commun pour les fournisseurs individuels ou les groupes avec des informations d'apprentissage automatique intégrées. Cela permettrait aux équipes d'identifier rapidement les aberrations dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie.

4 (e) (vi)

(vi) maintenir des données précises et à jour, la provenance (c'est-à-dire l'origine) du code ou des composants logiciels, et des contrôles sur les composants, outils et services logiciels internes et tiers présents dans les processus de développement de logiciels, et effectuer des audits et l'application de ces contrôles de manière récurrente ;

Les équipes informatiques fédérales devraient être en mesure de mettre automatiquement en correspondance les informations recueillies lors des audits internes avec les normes ou les cadres réglementaires applicables dans le cadre de cet EO - y compris le NIST, le CMMC et d'autres - afin de visualiser et de traiter rapidement les lacunes importantes en matière de contrôle, et d'attester des pratiques.

4 (e) (vii)

(vii) fournir à un acheteur une nomenclature logicielle (SBOM) pour chaque produit, directement ou en la publiant sur un site web public ;

Voir 4 (e) (i) (A)-(F) ci-dessus.

4 (e) (viii)

(viii) la participation à un programme de divulgation des vulnérabilités qui comprend un processus de rapport et de divulgation ;

Voir 4 (e) (i) (A)-(F) ci-dessus.

4 (e) (ix)

(ix) attestant de la conformité aux pratiques de développement de logiciels sécurisés ; et

Voir 4 (e) (ii) ci-dessus.

4 (e) (x)

(x) garantir et attester, dans la mesure du possible, l'intégrité et la provenance des logiciels libres utilisés dans toute partie d'un produit.

Voir 4 (e) (vi) ci-dessus.

Élaboration d'un programme de gestion des risques liés aux tiers conforme au décret sur l'amélioration de la cybersécurité nationale

Alors que les exigences décrites dans le décret sur l'amélioration de la cybersécurité du pays prendront forme au cours de l'année prochaine, il est temps pour les entreprises de logiciels informatiques d'élaborer ou de perfectionner leurs propres programmes de gestion des risques liés aux tiers. Les considérations clés devraient inclure :

  • Identifier les fournisseurs considérés comme critiques et concentrer les efforts d'évaluation sur ceux qui présentent le plus de risques inhérents à vos opérations.
  • évaluer régulièrement les pratiques sécurisées du cycle de vie du développement logiciel des principaux tiers qui contribuent au code ou aux mises à jour de vos versions finales
  • surveiller en permanence le dark web, les discussions de pirates et d'autres forums connexes pour détecter toute activité liée à vos tiers.
  • Triage et remédiation des résultats d'évaluation et de surveillance
  • Centralisation de la documentation et des rapports pour les auditeurs

Prevalent peut vous aider. Nous proposons une solution SaaS qui automatise les tâches essentielles requises pour identifier, évaluer, analyser, corriger et surveiller en permanence les risques liés à la sécurité, à la confidentialité, aux opérations, à la conformité et aux achats des tiers à chaque étape du cycle de vie des fournisseurs. Pour en savoir plus sur la façon dont Prevalent peut vous aider, lisez les informations sur nos capacités TPRM pour l'Executive Order on Improving the Nation's Cybersecurity ou contactez-nous aujourd'hui pour une discussion stratégique.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo