L’UE et les USA veulent contraindre les fournisseurs à renforcer et renseigner la cybersécurité de leurs produits
L’Union européenne a dévoilé hier son projet de loi sur la cyber-résilience. La règlementation prévoit de nombreuses exigences pour les fabricants de produits ayant des éléments numériques, notamment en matière de transparence sur les composants et les vulnérabilités. Alors que les Etats-Unis avancent dans le même sens, l’idée d’imposer des Software Bill of Materials pour mieux renseigner et sécuriser la supply chain logicielle gagne en popularité.
L’augmentation des incidents de cybersécurité poussent les autorités à réagir des deux côtés de l’Atlantique. En juillet, la Maison blanche publiait un décret pour «l’amélioration de la cybersécurité du pays» exigeant notamment la levée des barrières à l’échange d’informations sur les incidents et les vulnérabilités, ainsi que la transparence des fournisseurs sur les composants des logiciels vendus à l’administration.
Lui emboîtant le pas, l’UE a présenté hier sa «proposition de nouvel acte législatif sur la cyber-résilience». Le projet comprend des règles relatives à la sécurité des produits mis sur le marché comportant des éléments numériques, des exigences quant à la conception et au développement desdits produits, et des exigences quant à la gestion du cycle de vie de ses produits et le signalement de vulnérabilités. Signalons que le projet s’applique aux produits ayant des éléments numériques, mais pas aux services, tels que le Software-as-a-Service (SaaS), sauf si pour fonctionner, un produit nécessite un traitement des données à distance conçu ou sous la responsabilité du fabricant.
«Nous sommes en droit d’attendre que les produits que nous achetons sur le marché unique soient sûrs. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d’un marquage CE, nous pourrons, grâce à l’acte législatif sur la cyber-résilience, avoir l’assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché», commente Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique.
La supply chain logicielle dans le collimateur
Un aspect des projets de loi européens et américains retient l’attention: la sécurisation de la supply chain logicielle. Depuis la vulnérabilités Log4j et l’affaire Solarwinds qui ont eu un impact sur des millions d’applications, la question de la transparence des composants de ces logiciels - notamment les briques open source - fait l’objet de beaucoup de débat et de développements. L’idée de documents standardisés et lisibles par machine décrivant l’intégralité des composants d’une application se popularise: les Software Bill of Materials ou SBOM. C’était d’ailleurs l’un des sujets principaux de l’OpenSSF Day Europe qui s’est tenu cette semaine à Dublin. Le projet européen explique ainsi qu’afin de faciliter l’analyse de la vulnérabilité, les fournisseurs doivent notamment établir un Software Bill of Materials permettant à eux-mêmes et aux utilisateurs de faire le suivi des vulnérabilités et risques connus et nouvellement apparus.
Le sujet est également dans la ligne de mire de la Maison blanche dont le CISO Chris DeRusha a publié cette semaine une «guidance» pour pour la fourniture de logiciels destinés à l’administration. L’orientation demande aux agences étasuniennes de n’utiliser que des logiciels conformes aux normes de développement de logiciels sécurisés et les encourage à exiger des Software Bill of Materials de leurs fournisseurs pour les usages critiques.
Pour en savoir plus, ICTjournal a consacré plusieurs articles ces derniers mois à la sécurité de la supply chain logicielle:
Les entreprises gèrent mal les dépendances open source de leurs applications
Les CIO ne se fient pas à leur supply chain logicielle
150 millions de dollars pour sécuriser la supply chain logicielle
