Pourquoi vendre des logiciels au gouvernement, c’est comme visiter un confessionnal

Joe Nicastro Ouais, c’est une excellente question. C’est en grande partie dû aux attaques SolarWinds qui se sont produites. Il y a eu un décret qui disait essentiellement que le NIST allait créer une nouvelle ligne directrice ou un nouveau cadre autour de la sécurité de la chaîne d’approvisionnement logicielle, qui a fini par devenir le NIST SSDF. Et puis très peu de temps après, [Cybersecurity and Infrastructure Security Agency (CISA)] a décidé d’utiliser ce SSDF dans le cadre d’une attestation pour eux, pour les entreprises qui vendent des logiciels à l’ensemble du gouvernement. Il ne s’agissait pas d’une période de commentaires, mais la semaine dernière, elle a été finalisée, ce qui signifie essentiellement que dans les trois prochains mois, tous les logiciels critiques vendus au gouvernement doivent faire l’objet de cette attestation, ou les logiciels non critiques qui sont en cours de réalisation. vendu au gouvernement doit faire l’objet de cette attestation dans un délai de six mois. Et essentiellement, cette attestation est un formulaire qui est signé soit par le PDG, soit par une autre personne désignée de niveau C au sein de cette organisation, ou par un organisme de réglementation tiers autorisé qui viendra et dira essentiellement, hé, ces particuliers des contrôles en place ou correctement mis en place. Et nous attestons auprès de CISA que cette société respecte les normes et pratiques appropriées pour son développement de logiciels.

Tom Temin Si vous êtes Microsoft ou SAS, ou Salesforce ou Oracle ou l’un de ces géants qui dominent l’industrie du logiciel, n’utilisent-ils pas déjà des pratiques de développement sécurisées ? Non pas qu’il n’y ait jamais de vulnérabilité, mais ont-ils quelque chose à craindre s’ils font cette attestation ?

Joe Nicastro Je pense que la plupart des organisations disposent d’un grand nombre des contrôles demandés par le SSDF. Des choses comme disposer des outils de sécurité des applications appropriés, qu’il s’agisse d’une analyse statique, d’une analyse dynamique, d’une analyse de la composition logicielle, etc. Je pense que là où la plupart des organisations vont avoir du mal, la mise en place de certains de ces contrôles supplémentaires concernera en grande partie l’ensemble la chaîne d’approvisionnement elle-même. Il existe actuellement sur le marché de nombreux outils qui se concentrent principalement sur le risque au sein d’une application. Il n’y a pas beaucoup d’outils qui se concentrent sur le risque dans l’usine logicielle qui crée ce code. Et je pense que c’est la raison pour laquelle nous avons vu de nombreuses attaques contre la chaîne d’approvisionnement logicielle augmenter au cours des 4 ou 5 dernières années. Parfois plus de six, 700 % d’une année sur l’autre. Je suis donc convaincu que les grandes entreprises ont la capacité de respecter ces contrôles. Je pense qu’ils ont évidemment un peu plus de travail à faire, mais c’est certainement quelque chose qu’ils pourront faire. Je pense que le plus grand défi, surtout pour les grandes entreprises, sera de le prouver de manière automatisée. Je pense que l’une des choses qui manque dans cette nouvelle attestation CISA est la possibilité pour des organisations comme Microsoft ou ces grandes organisations de tester de manière automatisée. À l’heure actuelle, il s’agit en grande partie de fichiers PDF ou de remplissage d’un formulaire sur un site Web. Et lorsque nous faisons les choses à la vitesse du développement, tout processus manuel comme celui-ci va ralentir cela. Et je pense que cela va être le plus gros obstacle pour les organisations à mesure que nous avançons.

Tom Temin Et je sauvegarde juste la chaîne alimentaire pendant un moment. La réalité de la plupart des logiciels commerciaux est qu’il y a un peu de codage par le fournisseur, et la plupart du temps, ils ont assemblé des composants open source qui pourraient être communs à 10 000 autres programmes. Est-ce que cela va donc être un obstacle à la possibilité de faire une attestation en toute sécurité ?

Joe Nicastro Donc, je pense encore une fois, beaucoup d’organisations dont nous parlons effectuent une certaine forme de test en ce qui concerne l’analyse de la composition des logiciels pour s’assurer que les packages open source qu’elles introduisent sont sains et n’ont pas beaucoup de problèmes. de risque pour eux. Mais oui, ce qui sera certainement une préoccupation à mesure que nous avançons, c’est de nous assurer que, encore une fois, les packages que nous utilisons n’introduisent pas de risque supplémentaire dans cette organisation. Je pense que le tableau d’ensemble, cependant, consiste à examiner la manière dont ces logiciels open source et ces packages sont utilisés dans l’application dans son ensemble au sein de l’organisation, afin de commencer réellement à examiner les risques de manière globale, au lieu de simplement déterminer s’il existe ou non une vulnérabilité. un package qui n’est peut-être pas dans le code actif, peut-être pas touché par le code global utilisé, peut-être même pas de vulnérabilité accessible, etc.

Tom Temin Nous parlons avec Joe Nicastro. Il est directeur technique de Legit Security. Et une dernière question du côté du vendeur, quelles sont les conséquences s’il fait cette attestation ? Et puis une certaine vulnérabilité est exposée parce que je ne pense pas que leur logiciel ait encore été publié là où quelqu’un ne peut pas pirater quelque chose. Alors que se passe-t-il alors ?

Joe Nicastro Je pense que c’est quelque chose que nous attendons tous de voir. Je pense qu’il y a certainement eu un précédent, le RSSI d’Uber allant en prison et poursuivant en justice pour SolarWinds. Donc, je pense vraiment qu’il existe un précédent pour qu’il y ait une propriété ou une responsabilité sur le leader global des programmes de sécurité de ces entreprises. Je ne pense pas qu’il existe une menace très réelle quant à ce qui va se produire. Devriez-vous attester quelque chose comme ça et avoir une violation ou quelque chose qui montre que vous avez peut-être attesté quelque chose de manière inappropriée ? Mais encore une fois, je pense que nous commençons à voir un changement dans la façon dont nous envisageons ces questions d’un point de vue juridique, où il y aura un certain niveau de responsabilité personnelle assumée soit par le CTO, le RSSI ou quelqu’un d’autre qui signe ces attestations globales disant que s’il y a une violation, il y aura des conséquences.

Tom Temin Eh bien, j’espère qu’ils bénéficieront d’une sécurité minimale. Et passer du côté du gouvernement. Que font les agents contractants au moment de l’application de cette loi, que leur dites-vous qu’ils doivent faire maintenant pour s’assurer qu’ils obtiennent les bons documents d’attestation ?

Joe Nicastro Si nous parlons du point de vue du gouvernement, comme celui de la CISA, et de ce que je pense qu’ils doivent ajuster afin de rendre cela un peu plus facile pour les organisations, en grande partie comme nous avons parlé d’une certaine forme d’automatisation de ces attestations globales dans le gouvernement. Encore une fois, si nous parlons d’organisations qui ont 1 ou 2 candidatures, remplir un PDF n’est pas un grand travail. Mais lorsque vous parlez d’organisations qui vendent plus de 100, 1 000, voire 10 000 applications à l’ensemble du gouvernement, parcourir 10 000 fichiers PDF manuels pour signer chaque attestation devient un énorme effort. Et à ce stade, vous ralentissez le processus de développement au point où, encore une fois, c’est quelque chose que la plupart des organisations vont vraiment se demander si c’est quelque chose qu’elles doivent faire ou non. Je pense que si CISA pouvait proposer une forme d’automatisation de ces formulaires, qu’il s’agisse d’une ingestion d’API ou quelque chose du genre, cela permettrait certainement aux organisations de commencer à intégrer ces attestations directement dans leurs processus de développement globaux afin qu’elles puissent commencer pour attester de ces choses alors que le développement se produit avec tous les contrôles déjà en place.

Tom Temin Les deux parties ont alors vraiment besoin de la graisse, si vous voulez, d’un processus automatisé qui est néanmoins lié à quelque chose qui s’est légitimement produit.

Joe Nicastro 100%. L’objectif général de toute la sécurité que nous mettons en place avec le développement est que la sécurité évolue au rythme du développement. Notre objectif n’est jamais de ralentir ce processus de développement, en grande partie parce que, encore une fois, c’est généralement ainsi que les entreprises gagnent de l’argent, c’est ainsi qu’elles créent des ensembles de fonctionnalités, c’est ainsi qu’elles restent pertinentes dans leur espace global. Donc, si nous ralentissons cela, il existe d’autres risques ou ramifications qui affectent l’ensemble de l’activité. Notre objectif en tant que sécurité devrait donc toujours être de mettre en œuvre ces pratiques ou contrôles d’une manière qui soit vraiment invisible ou transparente pour le processus de développement global. Et je pense que la même chose avec ceci est l’attestation. Il sera très important de pouvoir graisser, selon vos propres termes, les deux côtés, afin que nous puissions attester de ces choses d’une manière raisonnable et fournir les informations dont le gouvernement a besoin pour montrer que ces contrôles sont en place. à la réussite de tout ce programme.

Tom Temin Et qu’en est-il des revendeurs qui déplacent réellement une grande partie des logiciels ? S’agit-il simplement de relais tiers et l’attestation appartient toujours au fournisseur ?

Joe Nicastro Ouais. Donc, à ce stade, je pense que ce que nous allons voir chez un grand nombre de revendeurs, c’est qu’ils vont créer des services qui feront essentiellement l’attestation à leur place. Ce n’est pas différent de ce que nous voyons avec des tiers similaires qui effectuent de nombreuses attestations FedRAMP pour ce côté où c’est maintenant devenu un service. Je pense que nous verrons la même chose avec les attestations CISA, où les organisations commenceront à sortir et à vendre ces services aux organisations et à dire, hé, nous validerons vos contrôles, nous nous assurerons que tout ce que vous faites est conformément aux exigences globales de l’attestation CISA, puis nous le signerons pour vous.

Tom Temin Cela pourrait constituer un nouveau service rentable et à valeur ajoutée.

Joe Nicastro Oui, à 100 %, je vois vraiment que quelque chose va s’améliorer chez un groupe de revendeurs et différents types d’agences de conformité. Encore une fois, nous le voyons déjà avec des choses comme FedRAMP. Nous le voyons avec toutes les autres conformités. Beaucoup de ces conformités sont vraiment difficiles à respecter. Et donc, si vous pouvez faire intervenir un tiers et vous expliquer où se trouvent ces lacunes et les combler, cela rend les choses beaucoup plus faciles.