En mai 2021, le président des États-Unis a signé l'Executive Order on Improving the Nation's Cybersecurity. Élaboré à la suite de la violation de la chaîne d'approvisionnement du logiciel Orion de SolarWinds, le décret ordonne à plusieurs agences du gouvernement fédéral américain de mieux se coordonner pour prévenir, détecter, répondre et atténuer les incidents et les violations de sécurité.
La section 4 de l'EO, intitulée "Amélioration de la sécurité de la chaîne d'approvisionnement en logiciels", introduit plusieurs nouvelles exigences en matière de gestion des risques liés aux tiers que les agences fédérales doivent mettre en œuvre. Plus précisément, l'EO cherche à améliorer la chaîne d'approvisionnement en logiciels grâce à des directives spécifiques qui peuvent être utilisées pour évaluer la sécurité des logiciels, y compris des critères pour évaluer les pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et en identifiant les outils et les méthodes pour démontrer la conformité à ces pratiques sécurisées.
Prevalent automatise les tâches critiques requises pour identifier, évaluer, analyser, corriger et surveiller en permanence les risques liés à la sécurité, à la confidentialité, aux opérations, à la conformité et à l'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs.
Identifier les fournisseurs considérés comme critiques et concentrer les efforts d'évaluation sur ceux qui présentent le plus de risques inhérents aux opérations.
évaluer régulièrement les pratiques sécurisées du cycle de vie du développement logiciel des principaux tiers qui contribuent au code ou aux mises à jour des versions finales.
Surveillez en permanence le dark web, les discussions de pirates et autres forums connexes pour détecter toute activité liée à des tiers.
Triage et remédiation des résultats de l'évaluation et de la surveillance
Centraliser la documentation et les rapports pour les auditeurs
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Répondre aux exigences du décret sur l'amélioration de la cybersécurité du pays
Voici comment Prevalent peut aider à évaluer les fournisseurs tiers conformément au décret :
Exigences de l'OT | Quelle aide nous apportons |
---|---|
4 (e) (i) (A)-(F) Ces orientations comprennent des normes, des procédures ou des critères concernant : |
Lors de l'évaluation des pratiques de sécurité des logiciels de tiers, tirez parti des modèles de questionnaires d'évaluation des risques normalisés existants et acceptés par l'industrie, notamment le Standard Information Gathering (SIG), le NIST, le CMMC et les évaluations connexes intégrées à la plate-formePrevalent TPRM. L'utilisation d'une seule évaluation normalisée pour l'ensemble de vos fournisseurs permet aux agences de comparer plus efficacement les pratiques de leurs fournisseurs en matière de sécurité des logiciels. Remarque : les agences peuvent également tirer parti desréseaux de risques des fournisseurs Prevalent , qui contiennent des évaluations des risques de sécurité achevées afin d'accélérer le processus d'identification des risques. |
4 (e) (ii) (ii) produire et, à la demande d'un acheteur, fournir des artefacts qui démontrent la conformité aux processus énoncés au paragraphe (e)(i) de cette section ; |
Lors de l'évaluation des pratiques de développement de logiciels sécurisés d'un tiers, exploitez la capacité de Prevalentà centraliser les preuves dans la plate-forme avec une gestion intégrée des tâches et de l'acceptation, ainsi que des fonctions de téléchargement obligatoire. Un dépôt de documents sécurisé garantit que les parties concernées peuvent examiner la documentation et les artefacts en conséquence. |
4 (e) (iii) (iii) l'utilisation d'outils automatisés, ou de processus comparables, pour maintenir des chaînes d'approvisionnement en code source de confiance, garantissant ainsi l'intégrité du code ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
4 (e) (iv) (iv) l'utilisation d'outils automatisés, ou de processus comparables, qui vérifient les vulnérabilités connues et potentielles et y remédient, et qui fonctionnent régulièrement, ou au moins avant la sortie d'un produit, d'une version ou d'une mise à jour ; |
Les tiers doivent analyser, trier et corriger les vulnérabilités de leurs logiciels et codes, et en attester. Mais les menaces ne s'arrêtent pas là. Les équipes de sécurité doivent également surveiller l'Internet et le dark web à la recherche de cyber menaces, de fuites d'informations d'identification ou d'autres indicateurs de compromission qui peuvent ouvrir des voies d'accès aux systèmes fédéraux s'ils ne sont pas détectés. Prevalent Vendor Threat Monitor combine les flux directement dans la plateforme Prevalent pour garantir que les organisations ont une vue complète des risques, qu'ils soient révélés lors d'une évaluation périodique ou par une surveillance continue. |
4 (e) (v) (v) fournir, à la demande d'un acheteur, les artefacts de l'exécution des outils et des processus décrits aux paragraphes (e)(iii) et (iv) de cette section, et mettre à la disposition du public des informations sommaires sur l'achèvement de ces actions, afin d'inclure une description sommaire des risques évalués et atténués ; |
La plateforme TPRM Prevalent révèle les tendances en matière de risques, l'état d'avancement, les mesures correctives et les exceptions au comportement habituel pour les fournisseurs individuels ou les groupes grâce à des informations d'apprentissage automatique intégrées. Cela permet aux équipes d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie. |
4 (e) (vi) (vi) maintenir des données précises et à jour, la provenance (c'est-à-dire l'origine) du code ou des composants logiciels, et des contrôles sur les composants, outils et services logiciels internes et tiers présents dans les processus de développement de logiciels, et effectuer des audits et l'application de ces contrôles de manière récurrente ; |
Prevalent met automatiquement en correspondance les informations recueillies lors des audits internes avec les normes ou les cadres réglementaires applicables dans le cadre de cet OT - y compris le NIST, le CMMC et d'autres - afin de visualiser et de traiter rapidement les lacunes importantes en matière de contrôle et d'attester des pratiques. |
4 (e) (vii) (vii) fournir à l'acheteur une nomenclature logiciellepour chaque produit, directement ou en la publiant sur un site web public ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
4 (e) (viii) (viii) la participation à un programme de divulgation des vulnérabilités qui comprend un processus de rapport et de divulgation ; |
Voir 4 (e) (i) (A)-(F) ci-dessus. |
4 (e) (ix) (ix) attestant de la conformité aux pratiques de développement de logiciels sécurisés ; et |
Voir 4 (e) (ii) ci-dessus. |
4 (e) (x) (x) garantir et attester, dans la mesure du possible, l'intégrité et la provenance des logiciels libres utilisés dans toute partie d'un produit. |
Voir 4 (e) (vi) ci-dessus. |
Découvrez comment gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à notre guide, qui présente les meilleures pratiques et les actions...
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...
Le gouvernement fédéral américain exigera de tous les fournisseurs de technologies de l'information et de technologies opérationnelles qu'ils répondent à des critères spécifiques...