La CISA élaborera des normes de cybersécurité d’auto-attestation pour les fournisseurs de logiciels fédéraux
Écrit par John Hewitt Jones
La Maison Blanche a chargé l’Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure de jouer un rôle clé dans le déploiement des nouvelles directives de cybersécurité que l’administration Biden a déployées mercredi.
La CISA travaillera avec le Bureau de la gestion et du budget pour créer un formulaire commun que les départements américains utiliseront pour montrer que les éditeurs de logiciels ont attesté que la technologie qu’ils vendent au gouvernement est conforme aux directives de sécurité du National Institute of Standards and Technology.
Les nouvelles directives d’auto-attestation obligent les entrepreneurs fédéraux à prendre des mesures supplémentaires pour montrer que leurs marchandises sont conformes aux normes de sécurité de la chaîne d’approvisionnement. CISA disposera de 120 jours pour créer un formulaire pouvant être utilisé par plusieurs agences.
Selon une note de service de la Maison Blanche, les ministères fédéraux auront 120 jours pour communiquer aux fournisseurs la nécessité de respecter les normes du NIST et pour recueillir les lettres d’attestation pertinentes.
En outre, dans un délai d’un an, la CISA doit établir des plans pour un référentiel gouvernemental pour les attestations et les artefacts de logiciels. Selon les nouvelles directives, la CISA évaluera également dans les 24 mois les exigences pour la création d’un référentiel d’artefacts logiciels inter-agences fédéral complet et publiera des directives mises à jour sur la nomenclature des logiciels pour les agences fédérales si nécessaire.
Les artefacts logiciels sont le sous-produit du développement logiciel et peuvent aider à décrire l’architecture, la conception et la fonction du logiciel. Ils peuvent être utilisés pour fournir une feuille de route détaillée du processus de développement qui peut aider à établir la provenance du logiciel.
La note publiée mercredi matin et rapportée pour la première fois par le Washington Post représente la dernière initiative politique de la Maison Blanche alors que le pouvoir exécutif s’efforce d’améliorer rapidement les normes de cybersécurité dans les agences fédérales.
FedScoop a précédemment rapporté les détails des directives à venir, ce qui a suscité l’inquiétude des leaders de l’industrie technologique.