La GSA et la CISA se tournent vers les outils d’IA et les normes pour aider à sécuriser les chaînes d’approvisionnement fédérales | Réseau d’information fédéral
Les agences découvrent rapidement qu’il y a beaucoup plus à faire pour faire confiance aux fournisseurs avec lesquels elles travaillent qu’à ce qui se passe à l’extérieur.
De nouveaux outils offrent aux agents d’acquisition et de cybersécurité des agences quelque chose d’équivalent à une analyse IRM des entreprises.
L’administration des services généraux a commencé à utiliser l’intelligence artificielle pour effectuer des évaluations préalables à l’attribution d’un fournisseur plus tôt cette année. Auparavant, la GSA concentrait ses efforts principalement après l’attribution, ce qui signifiait qu’ils étaient…
LIRE LA SUITE
Les agences découvrent rapidement qu’il y a beaucoup plus à faire pour faire confiance aux fournisseurs avec lesquels elles travaillent qu’à ce qui se passe à l’extérieur.
De nouveaux outils offrent aux agents d’acquisition et de cybersécurité des agences quelque chose d’équivalent à une analyse IRM des entreprises.
L’administration des services généraux a commencé à utiliser l’intelligence artificielle pour effectuer des évaluations préalables à l’attribution d’un fournisseur plus tôt cette année. Auparavant, la GSA concentrait ses efforts principalement après l’attribution, ce qui signifiait qu’elle mettait potentiellement le gouvernement en danger.
Nnake Nweke, directeur de la gestion des risques de la chaîne d’approvisionnement en cybersécurité de la GSA au Bureau de la catégorie informatique du Service fédéral d’acquisition, a déclaré lors de l’événement ATARC Mobile Summit le 29 août que la GSA utilise plusieurs outils d’éclairage pour obtenir une meilleure compréhension, en particulier autour du l’utilisation de produits de télécommunications chinois interdits en vertu de l’article 889.
Nous voulons comprendre les problèmes de contrefaçon et leurs sociétés affiliées et filiales, pour comprendre exactement d’où ils viennent, a-t-il déclaré. Il y a aussi des problèmes de propriété et d’influence étrangères. Voici donc quelques-unes des informations fournies par ces outils d’élimination activés par l’IA.
Protéger les agences, tout comme l’industrie
Nweke a déclaré que les outils d’IA donnent aux agents d’acquisition des rapports de cartographie et une visibilité sur les produits. Les travailleurs de l’acquisition s’appuient sur plusieurs outils pour fournir les meilleures données et informations.
L’objectif de ces examens préalables à l’adjudication est de protéger à la fois les agences et l’industrie avant qu’elles n’entrent dans le calendrier.
Il est beaucoup plus facile de résoudre les problèmes avant qu’une entreprise n’ait un contrat qu’après qu’ils soient sur le calendrier, a-t-il déclaré. Nous voulons créer un marché sécurisé et nous assurer que les fournisseurs se conforment initialement à la section 889.
Nweke a ajouté que la GSA étendra éventuellement les audits préalables à l’attribution à d’autres exigences telles que la nomenclature des logiciels ou les plans de gestion des risques de la chaîne d’approvisionnement.
Au cours de l’année écoulée, les efforts de gestion des risques de la chaîne d’approvisionnement de la GSA ont abouti à environ 20 conclusions qui ont permis de garantir que les entreprises respectaient l’interdiction des produits de télécommunications fabriqués en Chine par Huawei et ZTE.
L’utilisation initiale de ces analyses préalables à l’attribution a été couronnée de succès, de sorte que la GSA prévoit d’étendre leur utilisation à d’autres contrats et zones au-delà de 889.
La GSA étudie les risques de la chaîne d’approvisionnement post-attribution depuis plusieurs années. L’agence a déclaré en avril avoir identifié 200 000 produits préoccupants dans la chaîne d’approvisionnement fédérale dans des catégories à haut risque, comme les systèmes de contrôle industriels, les systèmes CVC et les caméras de sécurité.
L’automatisation est indispensable
Mais comme il y a tellement de données, la clé de ces outils est une plus grande automatisation.
Brian Paap, responsable de la gestion des risques de la cyber-chaîne d’approvisionnement à la Cybersecurity and Infrastructure Security Agency du département de la sécurité intérieure, a déclaré qu’il y avait tout simplement trop de données et pas assez de personnes pour comprendre pleinement les informations et prendre des décisions.
Il y a vraiment un bassin très restreint d’experts en la matière dans ce domaine, a-t-il déclaré lors du récent sommet FedRAMP parrainé par la FCW. Étant donné que ce pool est si peu profond, nous devons nous tourner vers l’automatisation pour nous aider à identifier les risques, à réduire les risques, à pouvoir travailler avec les fournisseurs sur ce que nous découvrons dans leurs produits ou leurs entreprises et à pouvoir atténuer problèmes plus rapidement, plus rapidement et communiquer avec d’autres éléments au sein de notre propre organisation. Ils sont donc informés plus rapidement de ces problèmes liés à ces menaces.
CISA essaie de répondre à la fois à ce bassin peu profond d’experts et à l’automatisation par le biais de deux programmes d’apprentissage.
Paap a déclaré que les efforts d’apprentissage se sont concentrés sur la validation et la vérification des logiciels et sur l’éclairage des logiciels du point de vue des normes ou des exigences.
Nous voulons déterminer quand c’est assez quand vous avez 651 capacités, a-t-il déclaré lors de l’événement ATARC. C’est fou de penser que nous pouvons avoir une capacité de fournisseur qui sera en mesure de répondre à tout cela. Alors qu’est-ce qui a du sens? Qu’est-ce qu’il est bon d’avoir et pouvons-nous repousser cela ? Et à quoi l’avenir doit-il ressembler ? Alors, comment pouvons-nous construire une échelle et construire pour cinq à sept ans à partir de maintenant. C’est l’approche que j’aimerais adopter pour entrer sur le marché, en laissant cette marge de croissance supplémentaire.
Une référence en matière de sécurité de la chaîne d’approvisionnement
Paap a déclaré que ces efforts de programme d’apprentissage aideront les agences à avoir une meilleure idée de ce à quoi ressemble la conformité à la gestion des risques de la chaîne d’approvisionnement, des lacunes qui existent dans les normes actuelles de l’Institut national des normes et de la technologie ou d’autres organismes, et où peuvent l’IA et l’apprentissage automatique ou d’autres technologies aident.
La CISA a également lancé un autre effort pilote avec six agences CFO Act. Paap a déclaré que cette initiative tente de déterminer ce qu’il faudra pour développer un plan de gestion des risques de la chaîne d’approvisionnement cybernétique pour le siège et pour les opérations, et comment le faire couler avec succès.
Nous avons développé ce guide et nous le réécrivons au fur et à mesure que nous recevons de nouvelles informations. Nous fournissons des modèles, des artefacts, des plans stratégiques, des feuilles de route, des guides de ressources et des tableaux de financement pour les aider à démarrer quelque chose, a déclaré Paap. S’ils peuvent mettre en place cet élément de gouvernance et qu’ils ont leur plan stratégique, puis qu’ils commencent à agir sur ces jalons au sein de leur organisation et à les cartographier dans leur stratégie, ils peuvent alors commencer à déterminer le type de capacité dont ils ont besoin dans leur espace de mission. qu’il est préférable pour eux d’utiliser, pas seulement parce que quelqu’un est passé et que ça avait l’air vraiment cool. C’est une lutte en ce moment.
La CISA, la GSA et d’autres reconnaissent que la quantité de données auxquelles les agences ont accès aujourd’hui peut être écrasante. Il existe des entreprises qui fournissent des données, des analyses et d’autres services, mais il y a tellement de facteurs qui entrent en jeu lorsqu’une agence décide de travailler avec un fournisseur et ces facteurs changent constamment.
Se sentir mal à l’aise
L’un des principaux sujets de préoccupation concerne les cartes d’achat que les agences utilisent car il y a peu de surveillance ou de responsabilité en matière de gestion des risques de la chaîne d’approvisionnement. Les agences dépensent environ 30 milliards de dollars par an, à travers 100 millions de transactions sur plus de 3 millions de cartes.
Les experts disent qu’il est facile de voir comment les agences pourraient acheter des produits contrefaits ou des produits infectés par des logiciels malveillants.
Demetrius Davis, ingénieur système principal pour l’équipe interfonctionnelle 5G des départements de la Défense chez MITRE Corp., a déclaré qu’il existe une tension que les agences doivent équilibrer. Ils doivent acheter des choses rapidement pour, par exemple, soutenir le combattant et s’assurer que ce qu’ils achètent est sécurisé et n’introduit pas de vulnérabilités dans les systèmes ou les réseaux.
Nous aurions besoin d’avoir un plan établi. Nous devons avoir certaines normes que nous établissons. Mais il doit y avoir un moment où nous identifions ce qui est critique, et disons, OK, j’ai vraiment besoin d’avoir une intelligence élevée. J’ai besoin de rigueur dans ce domaine. Mais dans d’autres domaines, je vais devoir accepter un certain malaise. Je devrai peut-être travailler avec un fournisseur que je ne connais peut-être pas et avec qui j’ai une longue histoire, et cette personne peut avoir des relations avec des personnes avec lesquelles je n’ai pas vraiment de relation étroite, a déclaré Davis. Il va falloir faire des petits pas et des petits cycles itératifs pour pouvoir y arriver mais on ne peut pas stagner et attendre que tout soit en place, que tout ait été béni et sur la liste des produits homologués avant de prendre le premier marcher. C’est un nouveau type de culture que nous allons devoir créer et je ne sais pas comment nous allons y arriver. Certaines personnes vont être mal à l’aise.