L’ordonnance de cybersécurité de Biden va-t-elle assez loin ?

Le décret exécutif de l’administration Biden sur l’amélioration de la cybersécurité de la nation (EO 14028) met en œuvre un ensemble d’exigences pour les opérations et les achats. À la base se trouve un ensemble d’exigences de partage d’informations réparties sur neuf objectifs principaux. La combinaison de ces objectifs offre la possibilité de créer un marché fonctionnel et transparent pour la sécurité à partir du marasme de longue date des allégations non fondées, du code inconnu et de la symétrie des informations (identifié pour la première fois dans la FAQ sur l’huile de serpent cryptographique en 1998). Ces exigences s’alignent sur les incitations existantes pour les individus et les organisations à investir plus intensément dans la sécurité. EO 14028 offre le potentiel non seulement d’une chaîne d’approvisionnement américaine plus sûre, mais également d’une protection continue de la cybersécurité et d’une contribution à la croissance de la fabrication intelligente dans laquelle le tout est supérieur à la somme des parties.

L’EO nécessite la création et la publication d’informations supplémentaires qui sont nécessaires depuis longtemps pour créer une chaîne d’approvisionnement sécurisée, mais celles-ci ne fourniront que le substrat de données sur lequel une base sécurisée peut être construite. Traduire ces données en informations exploitables pour l’aide à la décision nécessite d’intégrer des facteurs humains dans sa présentation. Avec la possibilité de différencier leurs produits, les développeurs seront incités à investir dans des produits plus sûrs et de meilleure qualité.

La prise de décision basée sur les données a longtemps été un défi, en particulier dans l’acquisition. Le décret exige des informations qui peuvent être fournies au moment de l’achat ou avant et pendant le fonctionnement. Au moment de l’achat, un fabricant de logiciels doit être en mesure de produire des attestations de meilleures pratiques dans les environnements de développement, la provenance des logiciels et l’identification des composants logiciels. En outre, l’Institut national des normes et de la technologie est tenu de développer un système d’étiquetage accessible et acceptable qui communique les implications de sécurité de ces attestations pour le consommateur moins expert techniquement.

Les optimistes supposent que tous les services connexes émergeront sur le marché, tandis que les critiques craignent qu’aucune des innovations de soutien potentielles ne se concrétise. Il y a des raisons de croire que l’industrie s’appuie sur la base de données. Par exemple, RSA, la récente conférence internationale sur la sécurité commerciale, a vu une prolifération d’offres pour sécuriser la chaîne d’approvisionnement, de nombreux fournisseurs faisant directement référence aux composants du décret exécutif.

La conclusion la plus fondamentale est que l’information requise par le décret permettra l’analyse, mais ne la fournira ni n’en garantira la qualité. La quantité d’informations disponibles nécessite que ces informations soient évaluées à l’aide d’une combinaison d’intelligence humaine et artificielle, la présentation de l’information aux analystes humains étant essentielle. L’augmentation de la disponibilité des informations crée un potentiel d’amélioration de l’analyse des données actuelles. Le partage des informations ouvre des opportunités pour les nouveaux entrants qui pourraient actuellement être exclus du marché par manque de données, et le manque de concurrence permet aux organisations ayant des pratiques dangereuses de prospérer.

L’existence de l’analyse et de l’intelligence artificielle n’est pas une garantie de protection. Par exemple, SolarWinds a proposé – et continue de proposer – une analyse des risques basée sur l’IA pour les connexions malveillantes. Les attaquants qui ont utilisé SolarWinds pour attaquer 18 000 de ses clients ont pu déterminer que la seule variable vérifiée par l’IA était l’emplacement géographique de la demande de connexion. Ainsi, les attaquants étaient clairs pour se connecter, confiants qu’ils ne seraient pas identifiés comme malveillants. En tant qu’observateurs et attaquants, l’insertion de code était un exercice d’un an optimisé pour être ignoré. En fait, la connexion suspecte a été notée par FireEye, non découverte par SolarWinds. Lorsque nous considérons le rôle de l’IA et des modèles d’attaquants, notez que l’intérêt des attaquants pour FireEye était axé sur les outils utilisés pour identifier les attaquants (c’est-à-dire les outils Red Team).

L’étiquetage, les informations sur la qualité du code et les exigences de divulgation des incidents avec la capacité correspondante de suivre l’utilisation des vulnérabilités créent les données permettant une identification, une communication et une atténuation efficaces des risques. Un écosystème complet est nécessaire pour que le résultat soit une infrastructure sécurisée. Les conditions préalables à un écosystème sécurisé incluent la nomenclature logicielle, les rapports obligatoires et les exigences relatives aux étiquettes. Tout cela est nécessaire mais pas suffisant pour créer un marché fonctionnel qui permette aux consommateurs de choisir des options peu enclines au risque.

La divulgation des incidents permettra un marché de la cyberassurance plus robuste et plus précis. La connaissance de la nature et du taux d’incidents permettra aux compagnies d’assurance et de réassurance de répartir les risques afin d’augmenter leur souscription de cyberassurance de manière durable et actuariellement saine. La connaissance des risques corrélés dans l’ensemble du paysage des incidents crée la possibilité de développer divers portefeuilles de pertes parmi les entreprises, les technologies et les attaques.

Le décret traite des asymétries d’information au cœur du marché de la sécurité : les composants sécurisés de haute qualité sont indiscernables des pires au moment de l’achat ; quelles parties peuvent mettre à jour le code pendant le fonctionnement est opaque pour les opérateurs ; les vulnérabilités intégrées dans le code sont inconnues ; et la probabilité que l’un d’entre eux soit utilisé par des attaquants est inconnue. Après avoir résolu ces composants du marché actuel des citrons pour la sécurité, toutes les autres heuristiques qui minent la prise de décision consciente des risques dans d’autres domaines existeront. Mais tant que ces problèmes ne seront pas résolus, l’atténuation des risques sera indiscernable de la magie ou du pur hasard pour la plupart.

La création d’un programme d’étiquetage des logiciels par l’Institut national des normes et de la technologie peut éclairer les décisions d’achat au niveau des consommateurs. L’étiquette unique actuelle basée sur le modèle Energy Star est un excellent premier pas. Pourtant, ce n’est pas une conception définitive. Comme d’autres produits complexes, tels que les produits pharmaceutiques et les produits industriels dangereux, il existe un besoin de systèmes d’alerte pour différents contextes et utilisations. Le label Energy Star fournit les informations nécessaires aux acheteurs, en particulier les consommateurs moins techniques, tout comme les autocollants d’avertissement identifient les risques d’accélérateurs. De plus, comme pour les matériaux physiques, l’existence d’icônes simples pour les matériaux inflammables et radioactifs n’élimine pas le besoin de fiches de données de sécurité ; un classement cinq étoiles ne résout pas toutes les exigences en matière de communication des risques.

La nomenclature logicielle (SBOM) offre une transparence des données plus nuancée au-delà des étiquettes. Les données SBOM répertorient tous les composants d’un produit logiciel, et avec cela, les opérateurs peuvent connaître les vulnérabilités précédemment divulguées intégrées dans le code. La nomenclature est un substrat de données qui peut être mappé avec des vulnérabilités, des dépendances et des données supplémentaires pour identifier les parties autorisées à mettre à jour le code. SBOM ne résout pas ces questions opérationnelles car les étiquettes nutritionnelles n’abordent pas la prise en charge médicale des allergies ; de même, sans l’information, une telle gestion est si difficile qu’elle est irréalisable au-delà de l’atténuation des dommages après l’exposition. L’intelligence artificielle jouera nécessairement un rôle crucial. Étant donné que les informations sous-jacentes aux étiquettes seront complexes, longues et sujettes à une validation incohérente, les leçons tirées des politiques de confidentialité sont applicables ici : peu de personnes liront la documentation.

Les exigences de rapport de l’EO 14028 fournissent des informations sur l’utilisation des vulnérabilités par les attaquants, fournissant les informations historiques de base requises pour une prise de décision éclairée. Ceux qui se plaignent que le grand nombre de dangers potentiels dans la base de données nationale sur les vulnérabilités (ainsi que les simples mauvaises pratiques de programmation qui entraînent des vulnérabilités persistantes) identifient un besoin d’aide à la décision, et non une faille fatale. Pour utiliser le modèle de sécurité des matériaux, la lecture de l’ensemble complet des fiches de données de sécurité des matériaux dans une entreprise moyenne et de toutes les interactions potentielles serait également écrasante. Pourtant, tout comme bon nombre des mesures d’atténuation pour les matières dangereuses sont des pratiques sûres courantes, telles que ne pas les exposer à des flammes nues, de nombreuses vulnérabilités peuvent être atténuées par les meilleures pratiques telles que la désactivation des services inutilisés, l’activation des scanners de logiciels malveillants, des mots de passe forts idéalement avec une authentification multifacteur , des sauvegardes régulières pour la récupération des logiciels malveillants et le blocage des serveurs malveillants.

Il existe un besoin systématique d’informations précises et exploitables sur l’état du logiciel, ce qui nécessite des informations sur les composants. La connaissance des vulnérabilités, le manque d’atténuation, l’incapacité à détecter les intrusions actives et la récupération sont des problèmes critiques sur l’ensemble du réseau, d’autant plus que les ransomwares sont devenus un modèle de service et d’entreprise durable et rentable pour les attaquants. Les entreprises manquent d’informations d’action structurées pour soutenir la prise de décision et s’engager dans une autoprotection efficace.

Considérez que l’enquête Fortinet Ransomware a demandé à 500 praticiens interrogés d’évaluer leur position vis-à-vis de la sécurité. Environ 40 % ont identifié des protections de base, notamment la segmentation du réseau, les mesures de continuité des activités et les plans de remédiation. En revanche, pour environ 35 % des praticiens, leur préparation actuelle est une politique de paiement immédiat, et 18 % des praticiens ont déclaré payer par défaut à moins d’un coût prohibitif. Il y avait une absence notable de prévention sous la forme d’identification et d’atténuation des vulnérabilités. Les personnes interrogées ne disposent tout simplement pas de la transparence et des informations nécessaires pour identifier les vulnérabilités sur leurs propres réseaux.

Le marché actuel ne donne pas confiance au choix d’externaliser la sécurité. Pour en revenir à SolarWinds, il est contesté si les attaquants ont utilisé le fait que SolarWinds avait publié leur mot de passe administrateur sur leur site Web accessible au public utilisé pour développer des composants de leur logiciel, permettant à toute personne ayant accès à Internet de modifier le code ; Solarwinds a ensuite refusé de changer le mot de passe après l’identification de l’exposition de plusieurs mois. On ne sait pas non plus si le choix d’externaliser les opérations et le développement du fournisseur de services gérés (sécurité) en Bulgarie, les compétences en russe étant identifiées comme un atout pour les candidats, a joué un rôle. En revanche, il est certain que le consommateur de tout logiciel devrait pouvoir prendre des décisions sur le code inclus dans le produit, la qualité de l’environnement de développement, les pratiques et l’historique du fournisseur. Les exigences en matière de fourniture d’informations dans le FAR, les informations sur les composants dans le SBOM, les exigences de notification des incidents et un étiquetage facile pour les consommateurs non experts peuvent améliorer le marché dans son ensemble.

La création d’un marché transparent pour les logiciels et la fourniture d’informations aux opérateurs et aux acheteurs tire parti du plus grand avantage concurrentiel des États-Unis : l’état de droit nécessaire pour soutenir un marché digne de confiance. Les nations émergentes peuvent investir dans leurs citoyens pour développer une expertise technique et exfiltrer la propriété intellectuelle ; pourtant, ni la Russie ni la Chine ne peuvent rivaliser avec les États-Unis en matière d’état de droit, de faible niveau de corruption et de transparence du marché. Le décret exécutif de l’administration Biden sur l’amélioration de la cybersécurité nationale (EO 14028) n’est pas une carte vers une chaîne d’approvisionnement plus sécurisée, un leadership continu en matière de cybersécurité et les augmentations correspondantes de la cybersécurité nationale ; à la place, il crée l’enquête pour sa construction.

Vous pourriez également aimer...