Easterly de la CISA désigne le « pouvoir d’achat » du gouvernement comme un outil pour forcer le développement de logiciels sécurisés
Le gouvernement américain est le plus gros acheteur de biens et de services au monde. Et Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency, estime que le «pouvoir d’achat» peut être utilisé comme un outil pour faire évoluer l’industrie technologique vers le développement de logiciels plus sûrs et plus transparents.
Discutant des directives récemment publiées par la CISA aux éditeurs de logiciels sur le développement de code «sécurisé dès la conception et sécurisé par défaut», Easterly a déclaré lundi lors d’une conversation à l’Institut Aspen à DC que «le gouvernement peut jouer un rôle important» dans l’incitation et la conduite des entreprises privées d’employer ces principes simplement en faisant des affaires avec ceux qui le font.
« Et cela aidera, je pense, à inciter une bonne partie du marché à commencer à créer des produits qui présentent de moins en moins de vulnérabilités », a déclaré Easterly, soulignant le décret exécutif 14028 du président Biden sur la cybersécurité de 2021, qui appelle également le gouvernement à conduire le changement du marché avec son pouvoir d’achat.
Cet EO, a-t-elle dit, « parle beaucoup de la façon dont vous pouvez utiliser le pouvoir d’achat du gouvernement pour inciter les fournisseurs à créer des produits plus sûrs et à vous assurer que vous avez des normes intégrées ».
« Nous passons par le processus de réglementation fédérale des acquisitions, qui est très byzantin et très bureaucratique, mais j’espère que nous y arriverons », a déclaré Easterly à propos de la création de règles qui pourraient obliger les agences fédérales à acheter auprès de fournisseurs qui ont des logiciels sécurisés par -design et -default.
La CISA, en partenariat avec la Maison Blanche, est actuellement en train d’accepter des commentaires sur une règle du Bureau de la gestion et du budget qui obligera les éditeurs de logiciels à fournir des formulaires d’auto-attestation indiquant qu’ils se sont conformés « aux normes de développement de logiciels sécurisés spécifiées par le gouvernement fédéral ». pratiques » comme indiqué dans le cadre de développement de logiciels sécurisés de l’Institut national des normes et de la technologie.
Comme FedScoop l’a signalé pour la première fois la semaine dernière, la version finale du formulaire qui sera utilisée pour ce processus n’a pas encore été approuvée, la date limite pour la période de commentaires de la CISA étant fixée au 26 juin. Un haut responsable a déclaré à FedScoop que l’OMB «travaillerait rapidement» pour approuver la version finale du formulaire une fois la période de commentaires de l’industrie terminée.
Ce n’est pas une transformation facile de faire évoluer l’industrie du logiciel vers une plus grande transparence sur les risques, a expliqué Easterly, car « nous avons affaire à des décennies d’incitations mal alignées ».
« Cela fait vraiment des décennies et des décennies que les entreprises mettent la vitesse sur le marché et les fonctionnalités plutôt que la sûreté et la sécurité », a-t-elle déclaré. «Et donc, ce que nous voulons faire, c’est essentiellement pouvoir envoyer des signaux au marché, car c’est ce qui manquait: un signal clair pour que les consommateurs sachent quoi demander. Et c’est la conversation que nous entamons. Les consommateurs doivent savoir. »
Dans ce sens, la CISA appelle les fournisseurs à être radicalement transparents et à « publier des informations sur la sécurité de leurs produits », a déclaré Easterly.
« Donc, toutes ces choses que les consommateurs pensent généralement sont en quelque sorte magiques … puis ils signent leur accord pour accepter la responsabilité, ce qui est essentiellement ce que vous faites lorsque vous allumez un appareil – nous essayons vraiment de nous assurer que » les consommateurs sont informés de ce qu’ils utilisent, a déclaré le directeur de la CISA.