La NSA partage des conseils de sécurité de la chaîne d’approvisionnement pour les fournisseurs de logiciels
La NSA, la CISA et le Bureau du directeur du renseignement national (ODNI) ont partagé un nouvel ensemble de pratiques suggérées que les fournisseurs de logiciels (vendeurs) peuvent suivre pour sécuriser la chaîne d’approvisionnement.
Ces directives ont été élaborées dans le cadre du Enduring Security Framework (ESF), un partenariat public-privé œuvrant pour faire face aux menaces pesant sur les systèmes de sécurité nationale et les infrastructures critiques des États-Unis.
« La prévention est souvent considérée comme la responsabilité du développeur de logiciels, car il est tenu de développer et de fournir du code en toute sécurité, de vérifier les composants tiers et de renforcer l’environnement de construction. Mais le fournisseur a également la responsabilité essentielle d’assurer la sécurité et l’intégrité de notre logiciel », a déclaré la NSA lundi.
« Après tout, le fournisseur de logiciels est responsable de la liaison entre le client et le développeur de logiciels. C’est grâce à cette relation que des fonctionnalités de sécurité supplémentaires peuvent être appliquées via des accords contractuels, des versions et mises à jour de logiciels, des notifications et des atténuations de vulnérabilités. »
L’ESF publiera un autre avis axé sur la partie client (organisations acquéreuses) du cycle de vie de la chaîne d’approvisionnement logicielle après avoir publié le premier chapitre en septembre avec des conseils pour les développeurs de logiciels.
Vous pouvez trouver le guide complet des pratiques recommandées pour les fournisseurs, y compris la planification des exigences de sécurité et le maintien de la sécurité des logiciels, dans l’avis d’aujourd’hui [PDF].
Ce guide a été publié à la suite de plusieurs cyberattaques récentes de grande envergure, y compris le piratage de SolarWinds, qui ont mis en évidence les faiblesses de la chaîne d’approvisionnement logicielle que les acteurs de la menace soutenus par l’État peuvent facilement exploiter.
Le danger derrière les attaques de la chaîne d’approvisionnement a été mis en évidence à plusieurs reprises dans des attaques réelles depuis que les acteurs de la menace russes ont compromis SolarWinds pour infecter les clients en aval, y compris par le logiciel MSP de Kaseya qui a été utilisé pour chiffrer des milliers d’entreprises dans le monde, et par la façon dont les acteurs de la menace ont utilisé des modules npm compromis pour exécuter des commandes à distance.
Après que l’attaque de la chaîne d’approvisionnement de SolarWinds ait conduit à la compromission de plusieurs agences gouvernementales américaines, le président Biden a signé un décret en mai 2021 pour moderniser les défenses américaines contre les futures cyberattaques.
Une nouvelle stratégie fédérale a été publiée par la Maison Blanche en janvier 2022, poussant le gouvernement américain à adopter un modèle de sécurité « zéro confiance ».
Cette décision a été motivée par le décret de Biden et par la NSA et Microsoft recommandant cette approche en février 2021 pour les réseaux critiques (systèmes de sécurité nationale, ministère de la Défense, base industrielle de la défense) et les grandes entreprises.
L’annonce de la Maison Blanche a été suivie en mai par la publication par le National Institute of Standards and Technology (NIST) des États-Unis de directives actualisées sur la manière dont les entreprises peuvent se défendre contre les attaques de la chaîne d’approvisionnement.
D’autres preuves que la chaîne d’approvisionnement en logiciels sont une cible populaire et constante proviennent d’un rapport de Microsoft publié en octobre 2021.
La société a révélé que le groupe de piratage Nobelium, soutenu par la Russie, continuait de cibler l’offre informatique mondiale après avoir piraté SolarWinds, piratant au moins 14 fournisseurs de services gérés (MSP) et fournisseurs de services cloud après en avoir attaqué 140 depuis mai 2021.