MITRE Trust System : une norme proposée pour la sécurité de la chaîne d’approvisionnement des logiciels

Le cadre du système de confiance MITRE vise à normaliser la façon dont la sécurité de la chaîne d’approvisionnement des logiciels est évaluée. explique Robert Martin de MITRE.

La sécurité des chaînes d’approvisionnement logicielles est l’un des sujets les plus importants de la conférence RSA de cette semaine à San Francisco, où des dizaines de présentations et de panels couvriront tous les aspects du risque, de l’attaque et de la défense de la chaîne d’approvisionnement.

Mais qu’est-ce qui constitue la sécurité de la chaîne d’approvisionnement logicielle ? Et comment comparer la sécurité d’une entreprise (ou d’un fournisseur) à une autre ? Sans une définition convenue de la sécurité de la chaîne d’approvisionnement, les évaluations sont souvent ciblées et personnalisées.

Ce qu’il faut, c’est quelque chose de plus proche d’un cadre de mesure des risques de la chaîne d’approvisionnement. Lors de la conférence RSA mardi, Robert Martin, un haut fonctionnaire du centre d’innovation des solutions cybernétiques de MITRE Labs, présente une idée pour accomplir quelque chose de proche de cela : un cadre de « système de confiance » qui, selon MITRE, fournira un moyen d’évaluer le risque lié à la chaîne d’approvisionnement des logiciels des organisations dans l’ensemble de l’économie.

Le SoT, qui a été décrit par MITRE dans une série d’articles (PDF), se veut une sorte de « GAAP » (Generally Accepted Accounting Principles) pour la sécurité de la chaîne d’approvisionnement des logiciels. Tout comme les PCGR normalisent les pratiques et les mesures de comptabilité financière (au moins parmi les entreprises américaines), MITRE SoT cherche à faire de même pour la sécurité de la chaîne d’approvisionnement. Pour attirer l’attention sur son travail en matière de sécurité de la chaîne d’approvisionnement, MITRE a lancé un nouveau site Web, sot.mitre.org.

Dans une conversation pour notre podcast ConversingLabs enregistré à RSA, Martin a déclaré que System of Trust s’appuie sur des décennies de travail effectué par MITRE – depuis la guerre froide – pour le compte d’agences et d’entrepreneurs du gouvernement fédéral : les aider à identifier les fournisseurs et également les voies de menaces et d’attaques. , comme l’espionnage industriel.

La création du système de confiance MITRE

“C’est la” prochaine étape “pour des choses qui durent depuis plusieurs années”, m’a dit Martin lors d’une interview à la conférence RSA à San Francisco. « Ce mouvement dans la chaîne d’approvisionnement augmente vraiment dans l’organisation. Ces questions ne sont pas pour les technologues. C’est un problème commercial qui nécessite l’attention des entreprises », a-t-il déclaré.

Alors que les questions sur la sécurité de la chaîne d’approvisionnement remontent à des décennies, le recours croissant aux technologies de l’information et de la communication (TIC) ces dernières années a compliqué une tâche déjà difficile, note Martin dans le rapport 2021 :

« L’informatisation de tout a donné lieu à des cybermenaces généralisées, y compris celles résultant de vulnérabilités inhérentes à des logiciels réutilisés d’origine souvent douteuse. Nos adversaires cherchent à s’injecter dans toutes les étapes imaginables du développement technologique, à des fins à la fois perturbatrices et de renseignement.

La pandémie de COVID a également mis en évidence le risque de la chaîne d’approvisionnement, contribuant aux perturbations de la chaîne d’approvisionnement. Mais de nombreuses organisations manquent actuellement d’une méthode globale pour évaluer la sécurité et l’intégrité de la chaîne d’approvisionnement. “Ils construisent leurs propres petites listes de ces problèmes ou empruntent quelque chose à un autre projet qu’ils pensaient être bon”, a déclaré Martin. “Les deux ne vont pas vraiment fournir le contexte holistique dont vous avez besoin pour commencer.”

Le système de confiance fournit un cadre pour commencer à répondre à certaines des questions sur les risques de la chaîne d’approvisionnement, non seulement au sein du gouvernement mais aussi dans le secteur privé. Le SoT fournit une “méthodologie cohérente et reproductible” pour évaluer les fournisseurs, les fournitures et les prestataires de services, déclare MITRE.

Système de confiance MITRE : catégories clés

le système de confiance est organisé en catégories clés de participants à la chaîne d’approvisionnement, y compris les fournisseurs, les fournitures et les services. Pour chacun, le SoT se concentre sur un petit nombre de domaines de risque que les agences gouvernementales et les entreprises sont invitées à évaluer au cours du processus d’acquisition, puis à « prendre des décisions » si cette évaluation a identifié un risque d’annulation.

Par exemple, lors de l’évaluation des fournitures ou des composants utilisés dans un produit ou un service, les organisations utilisant le cadre du système de confiance sont invitées à rechercher les problèmes liés aux produits contrefaits potentiels, à évaluer « l’hygiène » des fournitures et à rechercher des preuves de « taches malveillantes ». ”. » évaluant l’origine du logiciel, comment il a été réalisé (composition du logiciel) et les mises à jour éventuelles.

Les organisations qui évaluent la sécurité des fournisseurs sont invitées à prendre en compte 5 catégories de risques comprenant 26 facteurs de risque. Ils incluent la « sécurité organisationnelle » (à la fois la sécurité informatique et la sécurité des données) ainsi que la « malveillance » – par exemple, être nommé sur une liste de sanctions ou faire l’objet d’une enquête pour fraude et corruption. La santé financière et la propriété d’un fournisseur font partie de l’évaluation, tout comme ses pratiques internes en matière de cybersécurité et la manière dont il obtient l’assurance logicielle et matérielle.

Faire confiance au logiciel ou au service

L’objectif est de permettre à un acquéreur de logiciels ou de services de prendre “une décision claire et éclairée concernant l’achat auprès d’une entité particulière et l’achat d’un article/numéro de pièce spécifique auprès de cette entité”, a déclaré MITRE.

Les évaluations commencent par des questions générales sur la « portée » pour le partenaire potentiel de la chaîne d’approvisionnement afin de guider le cadre du système de confiance pour le produit, le service ou le fournisseur en question. À partir de là, des questions spécifiques au sujet sont posées sur la présence (ou l’absence) d'”aspects préoccupants”. Ces questions peuvent refléter les meilleures pratiques du gouvernement et de l’industrie.

Les risques identifiés sont notés à l’aide de ce que MITRE décrit comme un “ensemble de mesures pondérées, adaptées et contextuelles qui sont utilisées comme entrées dans un algorithme de notation”.

MITRE a déclaré avoir utilisé le SoT pour évaluer un groupe de 11 sociétés cotées en bourse avec des résultats prometteurs. Les scores de risque obtenus variaient de 15 à 58 sur 70, les scores les plus bas indiquant un risque plus faible. Pour l’entreprise avec un score de “58”, la sécurité informatique et la stabilité financière ont déclenché des signaux d’alarme dans l’évaluation SoT.

Mettre le système de confiance en action

Martin a déclaré que le système de confiance est un “point de départ” pour que les organisations abordent le problème de la sécurité de la chaîne d’approvisionnement. Même si les organisations individuelles ne ressentent pas le besoin de mettre en œuvre l’intégralité du système de confiance en interne, le simple fait de s’impliquer dans le processus peut leur donner une lecture rapide pour savoir si elles sont confrontées à des risques de chaîne d’approvisionnement qui méritent une attention particulière.

Martin prend l’exemple de la « contrefaçon », qui est l’un des domaines à risque pour les approvisionnements. La méthodologie d’identification des composants contrefaits dans votre chaîne d’approvisionnement varie considérablement selon que vous fabriquez de la microélectronique ou, par exemple, des sacs à main. Cependant, le simple fait d’être conscient que le problème des contrefaçons est quelque chose que votre organisation doit connaître et traiter est une première étape importante, a déclaré Martin.

*** Il s’agit d’un blog syndiqué du réseau de blogueurs de sécurité ReversingLabs Blog rédigé par Paul Roberts. Lisez le message original sur : https://blog.reversinglabs.com/blog/software-supply-chain-security-mitre-system-of-trust

Leave a Comment