Sécuriser la chaîne d’approvisionnement logicielle fédérale

Cet article, préparé en collaboration avec le comité technologique de l’AFCEA, est le premier d’une série de trois articles traitant des considérations relatives à la chaîne d’approvisionnement des logiciels et du matériel. Le prochain article explorera les ramifications des mandats logiciels du gouvernement.

Les meilleures pratiques en matière de cybersécurité ont tendance à rester intéressantes jusqu’à ce qu’elles deviennent des mandats. Récemment, il y a eu beaucoup de publicité sur la prise de conscience croissante du gouvernement fédéral du « il faut un village » et de l’interdépendance entre lui-même et ses chaînes d’approvisionnement. Ceci est particulièrement important pour son écosystème technologique, y compris les logiciels gouvernementaux prêts à l’emploi et commerciaux prêts à l’emploi produits par les fournisseurs et les sous-traitants. La reconnaissance de l’importance de protéger sa chaîne d’approvisionnement en logiciels est devenue particulièrement aiguë après les piratages, car ses fournisseurs ont introduit des vulnérabilités très médiatisées dans les réseaux gouvernementaux.

Le plus notable d’entre eux a été l’incident largement médiatisé impliquant SolarWinds. Cependant, la volonté actuelle de protéger la chaîne d’approvisionnement du gouvernement n’était pas une réaction à ces incidents récents, mais s’était développée au cours des douze dernières années. Et nous sommes à l’aube de nouveaux mandats.

On pourrait revenir sur le Loi fédérale de 2002 sur la gestion de la sécurité de l’information comme le début de la sécurité de la chaîne d’approvisionnement. Mais commençons par une action gouvernementale plus récente comme point de départ. En 2010, le président Barack Obama a signé Décret exécutif 13556, qui a rassemblé tous les marquages ​​disparates pour les données non classifiées sous la définition singulière d’informations contrôlées non classifiées, ou CUI. Vous vous demandez peut-être : quel est le lien entre CUI et une chaîne d’approvisionnement sécurisée ? Eh bien, deux choses. Premièrement, la définition du CUI incluait, pour la première fois, des informations qui n’étaient pas sous le contrôle direct du gouvernement. Cela comprenait les dossiers médicaux, les données des contribuables et d’autres données nécessaires pour protéger les intérêts des citoyens et du gouvernement. Plus important encore, ce décret a directement conduit à la publication du National Institute of Standards and Technology (NIST) norme 800-171Protéger les informations contrôlées non classifiées dans les systèmes d’information et les organisations non fédéraux.

NIST 800-171 est un document phare sur la chaîne d’approvisionnement sécurisée qui définit les exigences de sécurité pour la protection des données CUI pour l’industrie. Comme son titre l’indique, 800-171 stipule les règles que les sous-traitants doivent respecter pour héberger, traiter et transmettre les données CUI. Depuis 2017, les sous-traitants fédéraux sont tenus de s’auto-accéder et de signaler leur cyber-préparation par rapport aux normes détaillées dans la publication 800-171 du NIST. Le département américain de la Défense a détaillé les lacunes de l’auto-attestation dans une règle provisoire de 2019 autorisant l’inclusion de la certification du modèle de maturité de la cybersécurité (CMMC). CMMC ajoute essentiellement des exigences de maturité en matière de cyberhygiène aux exigences NIST 800-171, ainsi qu’une certification tierce pour les organisations gérant les CUI. Le CMMC en est maintenant à sa deuxième révision et entrera en vigueur plus tard cette année. Bien que NIST 800-171 et CMMC visaient principalement la protection des données, les deux ont jeté les bases des efforts futurs du gouvernement fédéral pour sécuriser ses chaînes d’approvisionnement en logiciels.

Avance rapide jusqu’à aujourd’hui. Alors que la base de la protection de sa chaîne d’approvisionnement est le résultat d’initiatives antérieures, une grande partie des directives actuelles – et des mandats à venir – sont le résultat direct de la décision du président Joe Biden Décrets exécutifs 14017 et 14028 en 2021, respectueusement appelé les chaînes d’approvisionnement de l’Amérique et l’amélioration de la cybersécurité de la nation. Le décret exécutif 14028 est plus spécifique à la chaîne d’approvisionnement des logiciels et doit être considéré comme un vaste cyber-ordre traitant d’un large éventail de problèmes. Il s’adresse à trois publics : les développeurs de logiciels, les fournisseurs et les clients. La prémisse de l’ordonnance est que “la protection de notre nation contre les cyber-acteurs malveillants nécessite que le gouvernement fédéral s’associe au secteur privé”.

De plus, le décret exécutif 14028 stipule : « Des améliorations progressives ne nous donneront pas la sécurité dont nous avons besoin ; au lieu de cela, le gouvernement fédéral doit apporter des changements audacieux et des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain. De plus, il précise que la sécurité des logiciels a un impact direct sur la capacité du gouvernement fédéral à remplir ses fonctions critiques.