Pourquoi c’est important : L’administration américaine souhaite renforcer la chaîne d’approvisionnement des logiciels en exigeant que les fournisseurs et les agences fédérales certifient que les logiciels qu’ils vendent (et utilisent) sont sécurisés. Il s’avère que le processus de certification peut être beaucoup plus complexe et gênant que prévu initialement.
Publié par le National Institute of Standards and Technology (NIST), le soi-disant Secure Software Development Framework (SSDF) est une « publication spéciale » (800-218) contenant des recommandations pour atténuer le risque de failles de sécurité logicielle. Créée à la suite des tristement célèbres attaques de SolarWinds, la documentation devrait théoriquement aider les agences fédérales américaines, les développeurs de logiciels et les fournisseurs à déployer une chaîne d’approvisionnement plus sécurisée et plus fiable aux États-Unis.
Le gouvernement américain avait initialement fixé un délai strict (14 septembre 2022) pour que les agences fédérales susmentionnées se conforment aux exigences du SSDF et aux directives supplémentaires du NIST. Les responsables américains devaient certifier qu’ils utilisaient des logiciels fournis par des fournisseurs qui pouvaient attester du respect des « pratiques minimales de développement de logiciels sécurisés spécifiées par le gouvernement ».
Le délai précédemment fixé n’est plus, car l’Office of Management and Budget (OMB) travaille sur un « formulaire commun » pour la certification des logiciels avec la Cybersecurity and Infrastructure Security Agency (CISA) américaine. Une fois rempli, le nouveau formulaire exigera que tous les vendeurs et fournisseurs de logiciels fédéraux le signent. Les agences fédérales disposeront de trois mois pour collecter ces certifications pour les fournisseurs « tests » et de six mois pour les autres fournisseurs de faible priorité.
Le nouveau mémorandum réaffirme «l’importance des pratiques de développement de logiciels sécurisés», indique le bureau de l’OMB, tandis que la CISA recueille toujours des commentaires sur le nouveau «formulaire d’auto-attestation de logiciel sécurisé» jusqu’au 26 juin 2023. La dernière version SSDF (1.1) date en février 2022, et il fournit une liste détaillée des pratiques de développement et de révision pour garantir que les produits logiciels utilisés par le gouvernement américain sont au moins un peu plus difficiles à pirater et à compromettre qu’auparavant.
Par ailleurs, l’OMB a précisé que les exigences du NIST ne s’appliquent pas aux logiciels open source et « obtenus gratuitement et directement » utilisés par les agences et le personnel fédéraux. Cette catégorie de logiciels n’entre pas dans le champ d’application de la SSDF, car les « clients » n’ont aucune possibilité claire de négocier avec un fabricant bien défini d’une entité constituée en société.
Par conséquent, les attestations sur les pratiques de sécurité ne seront pas requises pour les navigateurs Web et autres « applications logicielles de base » gratuites mais importantes actuellement utilisées par le gouvernement. Les agences américaines, cependant, seront toujours tenues « d’évaluer le risque » lié à l’utilisation de tels logiciels sur des ordinateurs fédéraux et de prendre « des mesures appropriées » pour minimiser ou éliminer les risques de sécurité connus.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
