Dans ses derniers jours, l'administration Biden a publié un important décret visant à renforcer les domaines clés de l'approche du gouvernement fédéral en matière de cybersécurité pour des risques tels que l'acquisition de logiciels, les chaînes d'approvisionnement et la nécessité d'améliorer les outils de détection et de réponse.
La nécessité de sécuriser les chaînes d'approvisionnement est un problème reconnu depuis longtemps, mais dont l'illustration la plus frappante a sans doute été l'infiltration des chaînes d'approvisionnement du Hezbollah l'année dernière, qui s'est traduite par des dispositifs de communication qui ont explosé lorsqu'ils ont été utilisés. Parmi les autres exemples, citons l'attaque bien connue de SolarWinds, les attaques du botnet Mirai (logiciel malveillant responsable d'importantes attaques par déni de service distribué) et l'attaque par ransomware de 2021 Colonial Pipeline contre un système d'approvisionnement en pétrole américain. Enfin, le service des eaux d'Aliquippa, en Pennsylvanie, dont le dispositif Unitronics développé par des Israéliens et utilisé comme interface de communication avec des infrastructures critiques a permis d'obtenir un "contrôle partiel" des régulateurs de l'eau.
C'est là que la gestion des risques liés à la chaîne d'approvisionnement et les cyber-risques se rencontrent. Bien que certains de ces exemples puissent sembler extrêmes, il est facile de voir comment des infiltrations dans les chaînes d'approvisionnement en logiciels gouvernementaux avec des tactiques telles que l'injection de codes malveillants pourraient avoir des conséquences dévastatrices. Il n'a jamais été aussi clair que les risques cybernétiques peuvent avoir des répercussions physiques en raison de l'interdépendance des logiciels, des systèmes gouvernementaux et des infrastructures critiques.
La chaîne d'approvisionnement du gouvernement américain représente un réseau complexe et étendu de vendeurs, de fournisseurs et de prestataires de services qui jouent un rôle essentiel dans la réalisation des objectifs stratégiques du pays, notamment la protection des infrastructures essentielles du pays telles que la gestion des eaux usées, la production d'énergie et l'industrie manufacturière. Toutefois, ce réseau complexe d'entités interconnectées constitue également une énorme surface d'attaque avec de nombreux points d'entrée pour les cybermenaces potentielles. La prolifération de systèmes et de dispositifs exposés à l'internet au sein de cette chaîne d'approvisionnement exacerbe encore le risque que chaque actif connecté puisse potentiellement servir de passerelle à des acteurs adverses pour infiltrer le réseau plus large. Nous avons eu la chance que la technologie des infrastructures critiques nécessite des compétences uniques pour être gérée et exploitée, ce qui explique que nous n'ayons pas assisté à une prolifération des attaques contre les infrastructures critiques.
Compte tenu de l'étendue et de la criticité des logiciels utilisés par le gouvernement américain, le défi de la cybersécurité est immense. Les États-nations adversaires peuvent employer des tactiques, des techniques et des procédures sophistiquées, telles que l'introduction de portes dérobées dans les systèmes gouvernementaux critiques. Ils peuvent cibler des fournisseurs plus petits au sein de la chaîne d'approvisionnement, en exploitant ceux dont les mesures de sécurité sont plus faibles pour obtenir un accès qui pourrait leur permettre d'introduire un code malveillant.
Le décret met en place des procédures importantes pour garantir la sécurité des logiciels utilisés dans les agences gouvernementales. Il demande aux fournisseurs de logiciels de soumettre à l'Agence pour la sécurité et les infrastructures critiques (CISA) des attestations lisibles par machine sur leurs pratiques de développement de logiciels ainsi qu'une liste de leurs clients logiciels dans les agences fédérales de l'exécutif civil (FCEB). Dans les 30 jours suivant la publication de cette exigence, le ministère de la sécurité intérieure mettra au point un programme de vérification et de validation de tous les formulaires d'attestation.
Le nouveau décret du président exige également que les agences inventorient tous les systèmes d'information dans un registre centralisé qui serait tenu soit par la CISA, soit par le ministère de la défense, soit par un "gestionnaire national". Les parties partageront leurs inventaires, le cas échéant, afin d'identifier les lacunes ou les chevauchements en matière de surveillance.
Ces exigences clés permettront au gouvernement de disposer d'un outil solide pour garantir l'intégrité des logiciels utilisés par les agences FCEB, ainsi que d'un inventaire utile de l'endroit où ces logiciels sont déployés et d'une compréhension de l'étendue totale de cette surface d'attaque. Ces éléments sont essentiels pour atténuer efficacement les risques liés à la chaîne d'approvisionnement et garantir la réussite des missions du gouvernement.
Ce décret représente une étape positive et une reconnaissance de l'importance d'une approche à multiples facettes de la stratégie de sécurité de la chaîne d'approvisionnement en logiciels, qui intègre des évaluations solides des risques des fournisseurs, une surveillance continue et l'adoption de cadres de sécurité avancés. Des évaluations approfondies des risques liés aux fournisseurs nécessitent des audits de sécurité complets de tous les fournisseurs de la chaîne d'approvisionnement afin d'évaluer leurs pratiques en matière de cybersécurité, leur respect des normes industrielles et leur position globale en matière de risques. À cet égard, les exigences en matière d'attestation et de registre centralisé contribueront à réduire la probabilité que des adversaires introduisent des vulnérabilités et des possibilités d'exploitation.
Pour renforcer l'efficacité de ces nouvelles exigences, les agences devraient également continuer à se concentrer sur l'adoption de modèles de cybersécurité existants, tels que le cadre de cybersécurité 2.0 du National Institute of Standards and Technology (NIST) et le cadre de confiance zéro du gouvernement. Au sein de la chaîne d'approvisionnement, une architecture de confiance zéro repose sur le principe qu'aucune entité - qu'elle soit interne ou externe - ne doit être digne de confiance par défaut. En appliquant les principes de la confiance zéro, les agences peuvent réduire de manière significative le risque d'accès non autorisé et de mouvement latéral au sein de la chaîne d'approvisionnement en logiciels.
Censys est particulièrement bien placé pour aider ses clients gouvernementaux à relever ces défis en matière de cybersécurité grâce à de puissants outils de balayage de l'internet, de découverte des actifs et de gestion des vulnérabilités, qui leur permettent d'avoir une idée de l'exposition à l'internet et de leur surface d'attaque unique. En fournissant une vue globale et en temps réel de l'ensemble de l'infrastructure numérique d'une organisation, Censys leur permet de visualiser leur terrain cybernétique d'une manière qui met en évidence les risques, priorise les actions de réponse et permet une planification proactive de la défense.
À l'adresse Censys , nous nous félicitons des mesures mises en place par le nouveau décret pour faire face aux risques et aux défis croissants liés à la chaîne d'approvisionnement en logiciels du gouvernement et à d'autres vulnérabilités. Nous sommes impatients de travailler avec nos clients du gouvernement fédéral pour résoudre ces problèmes avec succès.
