Les partenaires ESF, la NSA et la CISA publient des conseils sur la chaîne d’approvisionnement des logiciels pour les clients

FORT MEADE, Maryland — La National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security ont publié Sécuriser la chaîne d’approvisionnement des logiciels pour les clients aujourd’hui. Le produit a été développé par le biais du Enduring Security Framework (ESF), un groupe de travail intersectoriel public-privé dirigé par la NSA et la CISA qui fournit des conseils en matière de cybersécurité pour faire face aux menaces hautement prioritaires pour les infrastructures critiques du pays.

Afin de fournir des conseils aux clients, ESF a examiné les événements qui ont conduit à l’attaque de SolarWinds. Cet examen a clairement montré que des investissements étaient nécessaires pour créer un ensemble de meilleures pratiques évaluées par l’industrie et le gouvernement et axées sur les besoins du client du logiciel.

Historiquement, les acteurs de la menace ciblaient des vulnérabilités bien connues qui n’avaient pas été corrigées. Bien que cette tactique soit toujours utilisée pour compromettre les systèmes clients non corrigés, une nouvelle méthode moins visible menace les chaînes d’approvisionnement logicielles et sape la confiance dans les systèmes qui se corrigent eux-mêmes, ce qui a été essentiel pour se prémunir contre les attaques héritées. Plutôt que d’attendre les divulgations publiques de vulnérabilités, les acteurs de la menace injectent de manière proactive du code malveillant dans des produits qui sont ensuite légitimement distribués en aval via la chaîne d’approvisionnement logicielle mondiale. Au cours des dernières années, ces compromis de la chaîne d’approvisionnement des logiciels de nouvelle génération ont considérablement augmenté pour les produits logiciels open source et commerciaux.

La prévention est souvent considérée comme la responsabilité du développeur de logiciels, car il est tenu de développer et de fournir du code en toute sécurité, de vérifier les composants tiers et de renforcer l’environnement de construction. L’infiltration du réseau du fournisseur avec un code malveillant avant la livraison du produit logiciel final peut également compromettre la chaîne d’approvisionnement.

Si un progiciel injecté de code malveillant prolifère vers plusieurs consommateurs, il est beaucoup plus difficile à confiner ; cela peut avoir un impact exponentiellement plus important que lorsqu’un seul client est la cible d’une cyberattaque.

Pour cette raison, le client détient également une responsabilité essentielle pour assurer la sécurité et l’intégrité des logiciels ; non seulement ils acquièrent le logiciel, mais ils sont également responsables de son déploiement. Pour éviter l’exploitation du réseau, ils doivent évaluer les menaces en menant des activités de gestion des risques de la chaîne d’approvisionnement (SCRM) et définir des profils de risque au cours du processus d’exigences de sécurité. Les développeurs et les fournisseurs doivent également fournir aux clients des conseils sur la manière de vérifier l’intégrité des composants logiciels.

La sécurité n’est pas seulement pour les développeurs et les fournisseurs, c’est aussi pour les clients. Jusqu’à ce que toutes les parties prenantes cherchent à atténuer les préoccupations spécifiques à leur domaine de responsabilité, le cycle de la chaîne d’approvisionnement des logiciels sera vulnérable et à risque de compromis potentiel.

Dans la version d’aujourd’hui, les consommateurs de la chaîne d’approvisionnement logicielle trouveront des conseils utiles de la NSA et de ses partenaires.

Si vous avez des questions ou souhaitez en savoir plus sur l’ESF, veuillez contacter NSAESF@cyber.nsa.gov ou visitez la page de l’ESF.