Une nomenclature logicielle (SBOM) est une liste structurée des composants et des dépendances qui constituent une application ou un système logiciel. Les nomenclatures comprennent des informations telles que les noms et les versions de tous les composants, les relations entre eux, ainsi que les informations relatives à leur licence et à leur vulnérabilité.
L'évolution des SBOM peut être attribuée à la complexité croissante des applications logicielles et aux préoccupations grandissantes concernant la sécurité de la chaîne d'approvisionnement en logiciels. Par exemple, comme les applications logicielles sont devenues plus complexes et dépendent de composants tiers, il est devenu plus difficile pour les développeurs et les équipes de sécurité de suivre et de gérer les dépendances entre les composants.
Plusieurs incidents de sécurité très médiatisés, tels que le piratage de SolarWinds, ont souligné la nécessité d'une plus grande visibilité et d'une plus grande responsabilité dans les chaînes d'approvisionnement en logiciels. Cela a conduit à un intérêt accru et à l'adoption des SBOM comme moyen d'améliorer la sécurité des logiciels. En fait, le gouvernement américain fait pression en faveur des SBOM, qui pourraient devenir dans un avenir proche un élément majeur de la surveillance et de l'établissement de rapports en matière de gestion des risques par des tiers.
Ce billet examine comment les SBOM s'appliquent à la gestion des risques des tiers, passe en revue les récents efforts de normalisation et fournit des recommandations de bonnes pratiques pour commencer.
Les SBOM ont plusieurs applications dans le domaine de la gestion des tiers :
La complexité des applications logicielles ne cessant de croître, il est essentiel que les organisations aient une compréhension claire de leurs composants logiciels et des risques qui y sont associés. Les SBOM offrent un moyen structuré de parvenir à cette visibilité et à cette responsabilisation.
Webinaire à la demande : Comment évaluer la cybersécurité des éditeurs de logiciels
Rejoignez Dave Shackleford, directeur de Voodoo Security et instructeur SANS, qui vous donnera des conseils pour renforcer la sécurité de votre chaîne d'approvisionnement en logiciels.
Bien que les SBOM existent depuis un certain temps, leur adoption s'est accrue à mesure que les menaces et les réglementations en matière de cybersécurité ont nécessité des approches plus proactives de la gestion des risques liés aux tiers. L'avenir des SBOM dans la gestion des risques liés aux tiers semble prometteur, car de plus en plus d'organisations reconnaissent l'importance de la gestion des risques liés à la chaîne d'approvisionnement en logiciels. En fait, des initiatives sont déjà en cours pour exiger des SBOM pour certains types de logiciels. En voici deux exemples :
L'un des problèmes liés à l'adoption des SBOM est le manque de normalisation. Il existe actuellement quelques normes industrielles différentes pour les SBOM.
Dans l'ensemble, le choix du format du SBOM peut dépendre des besoins et exigences spécifiques de l'organisation ou du secteur qui l'utilise, ainsi que des outils et systèmes utilisés pour générer et consommer les données du SBOM. Cela accroît la complexité pour les équipes et les technologies de gestion des risques des tiers, car elles peuvent avoir besoin de consommer, d'interpréter et d'analyser des formats multiples.
Indépendamment de la complexité de la situation, l'utilisation des SBOM devrait s'intensifier. Au fur et à mesure que leur utilisation se répandra, il est probable qu'ils deviendront un élément standard des pratiques de gestion des risques des tiers. Les organisations pourront utiliser les SBOM pour identifier les vulnérabilités des logiciels de tiers et prendre des mesures proactives pour atténuer ces risques. En outre, les organismes de réglementation peuvent exiger des organisations qu'elles fournissent des SBOM dans le cadre de leurs exigences de conformité. Voici quelques recommandations pour considérer le SBOM comme un élément de la diligence raisonnable à l'égard des tiers :
En intégrant ces recommandations dans votre processus de diligence raisonnable à l'égard des tiers, vous pouvez vous assurer que votre organisation peut gérer efficacement les risques associés aux composants logiciels tiers.
À l'adresse Prevalent, nous prenons en charge les fichiers SBOM en tant qu'éléments de preuve dans le cadre du processus de diligence raisonnable. Pour en savoir plus sur la façon dont nous pouvons vous aider à intégrer les SBOM dans votre stratégie de programme TPRM, demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024