Trois conseils pour sécuriser la chaîne d’approvisionnement fédérale en logiciels

2024-03-13 20:42:28

Si l’on devait creuser sous la surface et analyser le facteur numéro un à l’origine de certaines des violations de données, de la législation et d’autres tendances technologiques les plus importantes dans l’espace fédéral au cours de l’année écoulée, un fil conducteur cohérent remonterait à la surface : l’offre de logiciels. chaîne.

Malgré la nouvelle législation de l’administration Biden conçue pour protéger la chaîne d’approvisionnement en logiciels, plusieurs organismes gouvernementaux ont été victimes d’attaques importantes sur la chaîne d’approvisionnement en 2023. Les attaquants ont notamment exploité une vulnérabilité du logiciel MOVEit Transfer, qui leur a permis d’infiltrer la chaîne d’approvisionnement en logiciels. de milliers d’entreprises sans être détecté. L’Agence de cybersécurité et de sécurité des infrastructures a confirmé que plusieurs agences gouvernementales, banques, sociétés de services financiers et universités figuraient parmi les victimes de la vulnérabilité du logiciel MOVEit Transfer qui a eu un impact sur plus de 60 millions de personnes mondial.

Avec l’évolution de l’IA, de l’apprentissage automatique et des grands modèles de langage qui se multiplient à une vitesse fulgurante, les développeurs produisent plus de logiciels que jamais et les cyber-adversaires continuent d’être à la recherche de leur prochaine victime. Il est essentiel que les agences fédérales disposent des outils et des processus nécessaires pour sécuriser la chaîne d’approvisionnement en logiciels.

Voici par où commencer :

Conseil n°1 : donnez la priorité aux nomenclatures logicielles (SBOM)

En 2024, le paysage logiciel est sur le point de connaître des changements importants, avec un accent croissant sur les SBOM, un outil essentiel pour les agences fédérales d’aujourd’hui. Un SBOM offre une transparence accrue en divulguant les composants du logiciel, qu’ils soient construits ou achetés, un peu comme une liste d’ingrédients sur les étiquettes des aliments. Grâce à un SBOM, les organisations fédérales sont en mesure d’évaluer avec précision les risques liés aux composants logiciels et de remédier rapidement aux vulnérabilités, ou simplement de choisir un meilleur logiciel. Celui du président Biden Décret exécutif (EO) 14028 souligne l’importance des SBOM en tant que moyen crucial d’améliorer considérablement la sécurité de la chaîne d’approvisionnement logicielle en réponse aux cybermenaces croissantes.

Alors que les inquiétudes concernant les attaques de la chaîne d’approvisionnement continuent de s’intensifier, les mesures de conformité telles que l’EO 14028 seront inévitablement renforcées, en raison de la fréquence et de la visibilité croissantes de ces cyberincidents à grande échelle. L’adoption proactive des SBOM n’est pas seulement une réponse à une prise de conscience accrue, mais constituera un différenciateur clé en matière de maintenance et de sécurité des logiciels. Nous soupçonnons qu’au cours de l’année à venir, l’accent sera davantage mis sur la prévention et la divulgation des menaces liées à la chaîne d’approvisionnement, à l’instar du Lois mises à jour de la SEC sur la divulgation des violationset des initiatives de conformité similaires seront prises dans le monde entier.

Conseil n°2 : privilégiez la visibilité en temps réel

L’objectif de prévention des attaques contre la chaîne d’approvisionnement logicielle dans le secteur public viendra de l’identification des menaces liées à la chaîne d’approvisionnement logicielle en temps réel avant qu’elles ne se manifestent. Cela constitue en soi un défi, dans la mesure où la majorité de ces incidents sont quasiment impossibles à détecter, surtout lorsque tant de producteurs et de consommateurs de logiciels ne peuvent toujours pas répondre à la question : « qu’est-ce qu’il y a dans votre logiciel ? »

La raison du manque de connaissances ? Il y a de fortes chances que les organisations fédérales s’appuient sur des composants logiciels open source. En fait, l’open source représente actuellement environ 70% à 90% des logiciels aujourd’hui. Malgré sa popularité, cela n’est pas sans risque. Recherche linéaire de l’année dernière a révélé qu’une écrasante majorité (82 %) des composants logiciels open source sont sensibles aux vulnérabilités, aux problèmes de maintenabilité, aux problèmes de qualité ou à des problèmes de sécurité similaires. Certains composants open source (un peu plus de 5 %) échouent aux contrôles d’intégrité de base, ce qui aurait pu empêcher les compromissions qui ont conduit à l’attaque 3CX ou aux retombées de la vulnérabilité MoveIT.

La visibilité en temps réel sur la qualité des composants logiciels fera la différence entre une chaîne d’approvisionnement logicielle bien entretenue et sécurisée et la prochaine grande attaque de la chaîne d’approvisionnement logicielle. Il est essentiel que nous abordions le paysage des dangers plus rapidement qu’auparavant afin de sécuriser efficacement l’avenir numérique.

Conseil n°3 : Identifiez la lignée de l’IA

Au cours de l’année écoulée, les organisations se sont de plus en plus concentrées sur la prévention des cyberattaques ciblant les systèmes d’IA. Cette attention accrue est motivée par l’utilisation et la popularité croissantes de l’IA, qui permet aux acteurs malveillants d’exploiter les vulnérabilités des logiciels, en particulier avec les modèles open source dépourvus de garde-fous suffisants. Cependant, un aspect crucial est négligé. De nombreuses équipes de sécurité fédérales se concentrent sur la défense contre les menaces une fois que l’IA est opérationnelle, craignant que les acteurs malveillants ne manipulent l’IA pour influencer les actions d’ingénierie, d’informatique ou de sécurité, ce qui pourrait conduire à des compromissions.

Un scénario souvent négligé en matière de sécurité de l’IA est que la sécurité devrait commencer dès le début de la construction des systèmes d’IA. Cela signifie adopter une approche proactive pour identifier et corriger les vulnérabilités qui pourraient être exploitées par des attaquants. Une façon d’y parvenir consiste à adopter une approche « shift left » ou « left of shift left », qui implique l’intégration de pratiques de sécurité dès le début du processus de développement. Cette approche permet aux développeurs d’identifier et de traiter les vulnérabilités potentielles avant qu’elles ne deviennent des menaces, réduisant ainsi le risque d’exploitation.

Par conséquent, les agences fédérales doivent tenir compte de la lignée de toutes les applications d’IA utilisées, sachant que des vulnérabilités clés peuvent avoir été négligées lors de la phase de construction. Être vigilant et attester des logiciels basés sur l’IA est essentiel pour renforcer les défenses d’une organisation contre l’évolution des cybermenaces, garantir l’intégrité des systèmes et maintenir une posture de sécurité robuste.

Les logiciels sont au cœur du fonctionnement actuel des agences fédérales. Il est essentiel que les organisations gardent une longueur d’avance sur la maintenance et la sécurité des logiciels afin de protéger la chaîne d’approvisionnement des logiciels et d’éviter toute compromission de la sécurité nationale. En commençant par ces trois conseils, les organisations fédérales peuvent se mettre dans une meilleure position pour faire face aux principales menaces actuelles qui pèsent sur la chaîne d’approvisionnement en logiciels.

Nick Mistry est vice-président directeur et RSSI de Lignéeun fournisseur de services de gestion continue de la sécurité de la chaîne d’approvisionnement logicielle auprès des entreprises et des gouvernements.

#Trois #conseils #pour #sécuriser #chaîne #dapprovisionnement #fédérale #logiciels
1710356247