En mai 12, Le président Joe Biden a publié un décret visant à défendre les États-Unis contre «des cyber-campagnes malveillantes persistantes et de plus en plus sophistiquées». L'ordonnance oblige les fournisseurs de services informatiques et OT travaillant avec le gouvernement fédéral à collecter et à stocker les données, les informations et les rapports relatifs aux problèmes de cybersécurité affectant leurs systèmes et à partager ces informations avec les agences gouvernementales américaines, y compris la Cybersecurity and Information Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI).
L'un des objectifs de l'Ordre est de moderniser la cybersécurité du gouvernement fédéral en unifiant les renseignements entre les différentes agences grâce au partage d'informations. L'Ordonnance enjoint également le gouvernement fédéral d'adopter les meilleures pratiques, y compris un Architecture de confiance zéro et une plus grande utilisation de services cloud sécurisés (SaaS, PaaS, IaaS). En fait, la migration vers la technologie cloud doit adopter l'architecture Zero Trust, à moins que cela ne soit impossible. Dans le cadre de cela:
- CISA doit développer un sécurité cloud stratégie et conseils pour les agences afin que les agences puissent se rapprocher de l'architecture Zero Trust
- Le secrétaire à la sécurité intérieure doit développer et publier une documentation d'architecture de référence technique de sécurité qui recommande des approches pour la migration vers le cloud et la protection des données pour la collecte de données et la création de rapports.
- CISA doit développer et publier un cadre de gouvernance des services cloud qui identifie une gamme de services et de protections disponibles pour les agences en fonction de la gravité des incidents et des données et activités de traitement associées à ces services et protections.
- Les données non classifiées seront examinées pour leur sensibilité afin de pouvoir être traitées et stockées en conséquence.
- Les agences doivent adopter MFA ainsi que chiffrement pour les données au repos et en mouvement dans la mesure maximale conforme aux lois fédérales et autres lois applicables.
- FedRAMP, la formation et les communications associées doivent être mis à jour.
- Des directives doivent être élaborées pour évaluer la sécurité du logiciel, y compris les pratiques de sécurité des développeurs et des fournisseurs du logiciel.
- La sécurité de la chaîne logistique logicielle doit être mise à jour.
- Les agences doivent être en mesure de démontrer leur conformité.
Ce que cela signifie pour les RSSI
Les vendeurs qui vendent au gouvernement américain devront satisfaire aux exigences encore à déterminer. Bien qu'ils aient été décrits de manière très détaillée, les approches spécifiques, les paramètres, etc. n'ont pas encore été spécifiés. Cependant, le gouvernement évolue à un rythme «agile du gouvernement», ce qui signifie que les projets de directives ou de spécifications doivent généralement être soumis dans un délai de 60 à 90 jours (bien que les délais puissent différer) et la mise en œuvre est prévue peu de temps après.
Les domaines couverts par l'arrêté devraient être du ressort des entreprises en général. Par exemple, le guide de la chaîne d'approvisionnement des logiciels doit aborder:
- Utilisation d'environnements de création de logiciels administrativement séparés;
- Audit des relations de confiance;
- Mise en place d'une authentification multifactorielle basée sur les risques et d'un accès conditionnel dans toute l'entreprise
- Documenter et minimiser les dépendances des applications;
- Employer le cryptage des données;
- Surveiller les opérations et les alertes et répondre aux cyberincidents tentés et réels;
- Fournir des artefacts qui démontrent la conformité (à la demande de l'acheteur);
- Utiliser des outils automatisés ou des processus comparables pour maintenir l'intégrité du code source de confiance et vérifier les vulnérabilités connues et potentielles;
- Fournir des artefacts de l'exécution des outils et des processus et divulguer publiquement un résumé des risques évalués et atténués (à la demande de l'acheteur);
- Maintenir des données exactes et à jour sur l'origine du code logiciel ou des composants et contrôles et des composants logiciels internes et tiers, des outils et des services présents dans les processus de développement logiciel et effectuer des audits et l'application de ces contrôles sur une base récurrente;
- Fournir à un acheteur une nomenclature logicielle pour chaque produit ou publier ces informations sur le site Web du fournisseur;
- Participer à un programme de divulgation des vulnérabilités qui comprend un processus de rapport et de divulgation;
- Attester de la conformité aux pratiques de développement de logiciels sécurisés; et
- Assurer et veiller à l'intégrité et à la provenance des logiciels open source utilisés dans toute partie d'un produit.
L'Agence nationale de sécurité (NSA) publiera des normes minimales des fournisseurs pour tester le code source des logiciels, ce qui comprendra l'identification des types recommandés de tests manuels ou automatisés (par exemple, des outils de révision de code, des analyses statiques et dynamiques, des outils de composition logicielle et des tests d'intrusion). Pendant ce temps, le secrétaire au commerce travaillera avec l'Institut national de la science et de la technologie (NIST) et d'autres agences pour définir des incitations en matière de sécurité pour les fournisseurs d'IoT.
En outre, le secrétaire à la Sécurité intérieure et le procureur général créeront le Cyber Safety Review Board, qui sera composé de fonctionnaires fédéraux et de représentants d'entreprises du secteur privé. Le comité d'examen examinera et évaluera les cyberincidents, y compris les menaces, les vulnérabilités, les activités d'atténuation et les réponses des agences, et formulera des recommandations.
Position dure de la Maison Blanche sur les cyberattaques
Le président Biden a utilisé l'incident des vents solaires comme point de lancement du décret. L'attaque récente du pipeline colonial était une autre indication que l'Amérique doit être mieux préparée à la cyberguerre, au cyberterrorisme et à d'autres cyberattaques.
La bonne nouvelle est que les entités chargées de protéger l'Amérique contre les menaces devront travailler ensemble de nouvelles manières pour influer sur les changements, car ces agences ne peuvent plus se permettre de fonctionner de manière classique. La mauvaise nouvelle est la quantité de formalités administratives nécessaires pour transformer l'Ordre en quelque chose qui s'avère efficace.
- "
- accès
- activités
- Amérique
- parmi
- selon une analyse de l’Université de Princeton
- Application
- architecture
- procureur général
- Authentification
- Automatisation
- LES MEILLEURS
- les meilleures pratiques
- biden
- Projet de loi
- planche
- construire
- Les Campagnes
- charge
- CISA
- plus
- le cloud
- TECHNOLOGIE CLOUD
- code
- Examen du code
- Commerce
- Communications
- Sociétés
- conformité
- cyber
- la cyber-sécurité
- cyber-attaques
- Cybersécurité
- données
- protection des données
- détail
- développer
- mobiles
- Développement
- Efficace
- chiffrement
- etc
- exécution
- exécutif
- commande exécutive
- FBI
- National
- Federal Bureau of Investigation
- Gouvernement fédéral
- Framework
- Général
- Bien
- gouvernance
- Gouvernement
- lignes directrices
- Homeland Security
- Villa
- HTTPS
- Y compris
- d'information
- sécurité de l'information
- Intelligence
- enquête
- IOT
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- Joe Biden
- lancer
- Lois
- matières premières.
- Métrique
- Bougez
- la sécurité nationale
- National Security Agency
- nouvelles
- Opérations
- de commander
- Autre
- représentent
- Privé
- Produit
- Programme
- protection
- Prouve
- Édition
- gamme
- Les relations
- Exigences
- REST
- Avis
- SaaS.
- Sécurité
- Sciences
- Science et technologie
- sécurité
- Services
- Partager
- So
- Logiciels
- développement de logiciels
- logiciel de sécurité
- solaire
- Normes
- Boutique
- de Marketing
- fournisseurs
- la quantité
- chaîne d'approvisionnement
- Système
- Technique
- Technologie
- Terrorisme
- Essais
- des menaces
- Formation
- La confiance
- nous
- Gouvernement des États-Unis
- fournisseurs
- vulnérabilités
- vulnérabilité
- Site Web
- Activités principales
- zéro
- confiance zéro