Les experts d’Infosec ont salué la refonte par le National Institute of Standards and Technology (NIST) des États-Unis de son guide de gestion des risques de la chaîne d’approvisionnement en cybersécurité (C-SCRM).

Élaboré en réponse à un décret signé par le président Biden en mai 2021, le document C-SCRM révisé fournit des conseils sur l’identification, l’évaluation et la gestion des risques de cybersécurité tout au long de la chaîne d’approvisionnement.

La publication – ‘Pratiques de gestion des risques de la chaîne d’approvisionnement en cybersécurité pour les systèmes et les organisations‘ (PDF) – exhorte les acquéreurs et les utilisateurs finaux de matériel, de logiciels et de services numériques à entreprendre une diligence raisonnable sur l’origine et la sécurité des composants d’un produit numérique.

« Si votre agence ou organisation n’a pas démarré [C-SCRM]il s’agit d’un outil complet qui peut vous faire passer du crawl à la marche et à la course, et il peut vous aider à le faire immédiatement », a déclaré Jon Boyens du NIST, co-auteur de la publication, dans un communiqué de presse.

« Meilleures pratiques fondamentales »

Les attaquants ciblent de plus en plus les chaînes d’approvisionnement numériques car ils peuvent compromettre plusieurs appareils, applications ou organisations en empoisonnant ou en exploitant les faiblesses de composants largement utilisés, l’attaque SolarWinds 2020 étant l’exemple le plus dévastateur à ce jour.

Ilkka Turunen, directeur technique de terrain chez Sonatype, spécialiste de la sécurité de la chaîne d’approvisionnement en logiciels, a déclaré La gorgée quotidienne: « Alors que les attaques de la chaîne d’approvisionnement de nouvelle génération se multiplient, les directives C-SCRM formalisent de nombreuses pratiques connues dans les organisations, grandes et petites.

« Il décrit les meilleures pratiques fondamentales – comme la génération de SBOM [software bill of materials] – et les activités de soutien nécessaires pour maintenir des pratiques efficaces de sécurité de la chaîne d’approvisionnement.

Il a poursuivi : « Ce recueil de connaissances explique comment se défendre contre les futurs problèmes de log4Shell et d’autres menaces de nouvelle génération. Il est temps pour les organisations d’investir dans l’automatisation de ces processus.

Tim Mackey, stratège principal en matière de sécurité au Synopsys Cybersecurity Research Center, a déclaré que le document couvre bien plus que la valeur de SBOM pour les composants open source.

« Les logiciels entrent dans une organisation à partir de plusieurs points d’origine, y compris l’open source et l’utilisation des API », a-t-il déclaré. La gorgée quotidienne.

« Les opérateurs de logiciels, que le logiciel soit de nature purement open source ou le résultat d’un développement propriétaire, acceptent effectivement les risques commerciaux associés à l’utilisation de ce logiciel.

« L’atténuation des risques logiciels commence par une compréhension de la façon dont l’utilisation des logiciels gérés et non gérés au sein d’une organisation se produit, et l’atténuation progressive de ces risques – non seulement au niveau du fournisseur, mais en continu avec chaque nouvelle version et modification du logiciel. »

Problèmes persistants

Cequence Security, un spécialiste de la sécurité des API, a récemment tiré la sonnette d’alarme sur la persistance de la vulnérabilité critique Log4Shell, qui a été découverte il y a six mois dans l’utilitaire de journalisation quasi omniprésent Apache Log4j.

La question, que l’entreprise surnommé ‘LoNg4j’« illustre à quel point l’infrastructure informatique d’entreprise moderne est interconnectée et comment cette chaîne d’approvisionnement numérique s’étend bien au-delà des applications connues », a déclaré Jason Kent, hacker en résidence chez Cequence Security.

Les directives révisées du NIST sont actuellement disponibles uniquement sous forme de document PDF, mais les auteurs ont déclaré qu’ils avaient également l’intention de publier une version Web plus conviviale et cliquable et un guide de démarrage rapide destiné aux organisations qui découvrent C-SCRM.