CISA et OMB publient un formulaire d’attestation de développement logiciel sécurisé
Les fabricants de logiciels utilisés par le gouvernement fédéral devront désormais affirmer que leurs produits sont fabriqués dans le respect de pratiques de développement sécurisées, en remplissant un formulaire publié lundi par l’Agence de cybersécurité et de sécurité des infrastructures et le Bureau de la gestion et du budget.
Le formulaire d’attestation de développement de logiciels sécurisés de l’administration Biden fait suite à un « engagement approfondi des parties prenantes et de l’industrie » destiné à garantir que « les producteurs de logiciels qui s’associent au gouvernement fédéral exploitent des techniques et des outils de développement sécurisés minimum », selon un communiqué des agences.
Dans un article de blog, Chris DeRusha, responsable fédéral de la sécurité de l’information et directeur national adjoint de la cybersécurité, et Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, ont déclaré que la publication du formulaire s’appuie sur la stratégie nationale de cybersécurité de l’administration et sur celle du président Joe Biden. Décret exécutif de 2021 visant à améliorer la cybersécurité du pays.
« En garantissant que notre gouvernement utilise des produits logiciels provenant de producteurs de logiciels qui exploitent les meilleures pratiques pour un développement sécurisé, nous renforçons non seulement la sécurité du gouvernement fédéral, mais nous apportons également des améliorations pour les clients du monde entier », ont écrit DeRusha et Goldstein. «Nous envisageons un écosystème logiciel dans lequel nos partenaires des gouvernements étatiques et locaux, ainsi que du secteur privé, recherchent également ces assurances et exploitent des logiciels conçus pour être sécurisés dès leur conception.»
DeRusha et Goldstein ont noté que le nouveau formulaire renforce les principes de sécurité dès la conception de la CISA. Ces principes, qui sont également suivis par les partenaires du gouvernement fédéral et les alliés internationaux, placent la responsabilité de la sécurité sur le producteur de logiciels plutôt que sur le client. Les logiciels doivent être développés avec « une transparence et une responsabilité radicales » par des créateurs dont la structure organisationnelle et le leadership sont alignés sur ces objectifs.
S’exprimant mercredi lors du sommet Elastic du secteur public, organisé par FedScoop, Goldstein a qualifié le travail de la CISA visant à promouvoir les logiciels sécurisés dès la conception d’un des objectifs les plus importants de l’agence « en termes d’échelle ».
« Le moyen le plus efficace de garantir la sécurité et l’évolutivité de chaque entreprise est d’utiliser des produits dont la sécurité est vérifiable dès leur conception », a-t-il déclaré, ajoutant que CISA « ne peut pas le faire sans toute votre aide, en référence à celles de l’industrie en présence.
Plus précisément, la liste de contrôle du formulaire contient des rappels sur les principes de sécurité, notamment : la journalisation, la surveillance et l’audit des relations de confiance utilisées pour l’autorisation et l’accès ; utiliser l’authentification multifacteur ; chiffrer les données sensibles, comme les informations d’identification ; utiliser des outils automatisés pour vérifier les vulnérabilités ; et maintenir des chaînes d’approvisionnement de codes sources fiables, entre autres.
La publication du formulaire intervient un peu moins d’un mois après la clôture de la période de commentaires publics pour la demande de commentaires de la CISA sur son livre blanc « sécurisé dès la conception », qui a poussé les fabricants de logiciels à adopter des normes de sécurité plus strictes.