Les partenaires ESF, la NSA et la CISA publient des directives sur la chaîne d’approvisionnement du logiciel pour les fournisseurs
FORT MEADE, Maryland — La National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) et le Bureau du directeur du renseignement national (ODNI) ont publié Sécurisation de la chaîne d’approvisionnement logicielle : Guide des pratiques recommandées pour les fournisseurs aujourd’hui. Le produit passe par le Cadre de sécurité durable (ESF) – un groupe de travail intersectoriel public-privé dirigé par la NSA et la CISA qui fournit des conseils en matière de cybersécurité pour faire face aux menaces hautement prioritaires pour les infrastructures critiques du pays.
Afin de fournir des conseils aux fournisseurs, l’ESF a examiné les événements qui ont conduit à l’attaque de SolarWinds, ce qui a clairement indiqué qu’un investissement était nécessaire pour créer un ensemble de meilleures pratiques évaluées par l’industrie et le gouvernement en se concentrant sur les besoins du fournisseur de logiciels.
Les cyberattaques ciblent l’utilisation du cyberespace par une entreprise pour perturber, désactiver, détruire ou contrôler de manière malveillante un environnement ou une infrastructure informatique, détruire l’intégrité des données ou voler des informations contrôlées. Un acteur malveillant peut tirer parti d’une seule vulnérabilité dans la chaîne d’approvisionnement logicielle et avoir un impact négatif grave sur les environnements ou l’infrastructure informatiques.
La prévention est souvent considérée comme la responsabilité du développeur de logiciels, car il est tenu de développer et de fournir du code en toute sécurité, de vérifier les composants tiers et de renforcer l’environnement de construction. Mais le fournisseur détient également une responsabilité essentielle pour assurer la sécurité et l’intégrité de nos logiciels. Après tout, le fournisseur de logiciels est responsable de la liaison entre le client et le développeur de logiciels. C’est grâce à cette relation que des fonctionnalités de sécurité supplémentaires peuvent être appliquées via des accords contractuels, des versions et des mises à jour de logiciels, des notifications et des atténuations de vulnérabilités.
Les fournisseurs de logiciels trouveront des conseils de la NSA et de nos partenaires sur la préparation des organisations en définissant des contrôles de sécurité des logiciels, en protégeant les logiciels, en produisant des logiciels bien sécurisés et en répondant aux vulnérabilités de manière continue. Jusqu’à ce que toutes les parties prenantes cherchent à atténuer les préoccupations spécifiques à leur domaine de responsabilité, le cycle de la chaîne d’approvisionnement des logiciels sera vulnérable et à risque de compromis potentiel.
La sécurité n’est pas seulement pour le fournisseur, c’est pourquoi ESF a produit une édition de ce guide pour le développeur, et publiera une édition pour le client du logiciel. Nous devons tous faire notre part pour sécuriser la chaîne d’approvisionnement des logiciels.
Si vous avez des questions ou souhaitez en savoir plus sur l’ESF, veuillez contacter NSAESF@cyber.nsa.gov ou visitez la page de l’ESF.
Relations avec les médias de la NSA
MediaRelations@nsa.gov
443-634-0721