Qu'est-ce qui constitue un logiciel « critique » dans le décret de Biden sur la cybersécurité ?

Sous la direction du président Biden, le National Institute of Standards and Technology a récemment publié une définition mise à jour de ce qui constitue des composants logiciels « critiques » que l'on trouve couramment dans les chaînes d'approvisionnement. Mais selon un expert en cybersécurité, le langage révèle une curieuse omission.

En proposant quels aspects de la technologie de cybersécurité devraient être inclus dans la phase de mise en œuvre initiale du décret de l'administration pour examiner et sécuriser les chaînes d'approvisionnement critiques du pays, le NIST exclut les composants logiciels et micrologiciels intégrés, note Eric Greenwald, avocat général chez Finite State, un fournisseur des systèmes de sécurité des appareils connectés.

Reconnaissant que ces composants sont souvent « critiques » pour sécuriser l'informatique. systèmes, le NIST suggère néanmoins qu'ils sont de nature trop complexe pour être inclus dans la première phase de mise en œuvre des efforts de l'administration.

Le NIST a déclaré avoir coordonné sa définition avec la contribution de nombreuses autres agences, notamment la Cybersecurity &Infrastructure Security Agency (CISA), le Bureau de la gestion et du budget, le Bureau du directeur du renseignement national et la National Security Agency. Le CISA, qui fait partie du Department of Homeland Security, s'appuiera sur les conclusions du NIST pour élaborer sa propre liste de catégories de logiciels entrant dans le champ d'application de la première phase de l'examen.

L'affirmation du NIST selon laquelle les logiciels et micrologiciels intégrés - les contrôles de base de bas niveau pour le matériel de l'appareil - sont trop complexes pour être repris immédiatement est contenue dans une réponse aux « questions fréquemment posées ». Mais Greenwald dit qu'il est intrigué par la brève déclaration.

« Je ne sais pas ce qu'ils entendent par là », dit-il, affirmant que la définition du NIST pourrait avoir pour effet d'exclure des éléments vraiment critiques tels que les pare-feu « simplement parce qu'ils sont sur des appareils plutôt que sur le cloud ».

Greenwald se rend compte que le NIST pourrait préférer ne pas inclure initialement de logiciel intégré à un chipset dans un appareil. « Mais lorsque vous parlez d'un système d'exploitation ou d'un logiciel de couche d'application, cela n'a pas de sens pour moi que vous excluiez cela en tant que catégorie. Il est difficile de comprendre comment ils pourraient établir une distinction significative entre le logiciel de l'appareil et le micrologiciel. »

La « complexité » ne justifie pas la distinction, dit-il. "Je dirais que plus c'est complexe, plus il est important d'avoir des normes de sécurité élevées qui lui sont appliquées."

Une motivation possible du NIST pour tracer la ligne des logiciels et micrologiciels embarqués est le désir de « ne pas mordre plus qu'ils ne peuvent mâcher » dans la phase initiale de mise en œuvre du décret, reconnaît Greenwald. En allant trop loin dans sa définition de ce qui constitue un logiciel critique, l'agence risquerait de dissuader les entreprises technologiques privées de participer aux marchés publics fédéraux. Pourtant, dit-il, ce n'est pas une raison légitime pour exclure cette classe de logiciels d'une action précoce.

La distinction peut sembler académique pour certains, mais elle touche au cœur de savoir quels fournisseurs de technologie peuvent faire confiance pour fournir des systèmes de sécurité clés au gouvernement et au secteur privé. Le ministère de la Défense a récemment resserré ses propres normes d'approvisionnement, avec la délivrance de sa certification de modèle de maturité en matière de cybersécurité. CMMC exige que les entrepreneurs éligibles obtiennent des certifications tierces afin de vendre leur logiciel au DOD.

Greenwald voit la possibilité d'instituer un régime qui balaie instantanément des centaines de milliers d'entrepreneurs dans une initiative de conformité rigoureuse. « Il y a des questions sur qui exactement est censé y être soumis », dit-il. "Le manque de clarté, c'est le diable."

Mais le manque de clarté est également la préoccupation de Greenwald en ce qui concerne le rejet apparent par le NIST des logiciels et de l'entreprise intégrés en tant qu'éléments critiques nécessitant une attention immédiate de la part du groupe de travail nouvellement nommé de Biden sur les perturbations de la chaîne d'approvisionnement. Il espère que l'agence clarifiera bientôt son intention, ou que CISA choisira d'inclure la catégorie contestée dans sa liste définitive de logiciels applicables.

Pourtant, si les deux agences continuent de passer sur ces composants pour la première phase du décret, "Je suis assez confiant qu'ils seront inclus dans la deuxième phase", a déclaré Greenwald. Les omettre complètement compromettrait sérieusement les efforts visant à sécuriser les systèmes contre toute forme de cybermenace.