Sécurité des infrastructures critiques
La CISA appelle les développeurs de logiciels du secteur IT et du design à améliorer leur hygiène cybernétique
L’agence américaine de défense cybernétique exhorte les développeurs de logiciels et de produits à isoler leurs environnements de développement grâce à une segmentation des réseaux et des contrôles d’accès, à surveiller les relations de confiance pour l’autorisation et à mettre en place des programmes de gestion des risques de la chaîne d’approvisionnement conformes à une série d’objectifs spécifiques au secteur IT.
À lire également : Guide des plateformes de protection d’applications cloud natives par O’Reilly
La Cybersecurity and Infrastructure Security Agency (CISA) a publié mardi des objectifs de performance en matière de cybersécurité à caractère volontaire pour le secteur IT et le design de produits, fournissant aux développeurs de logiciels et de produits de tous les secteurs d’infrastructure critiques des normes de base pour une hygiène cybernétique solide et une atténuation des risques. Les recommandations incitent les développeurs à appliquer les principes de la CISA de ‘Sécurisé par design’ en imposant une authentification multi-facteurs résistante aux tentatives de phishing dans les environnements de développement, en établissant des exigences de sécurité strictes pour les outils logiciels et en stockant en toute sécurité les données sensibles et les identifiants grâce à des procédés de cryptage.
De nombreuses pratiques figurant dans les exigences volontaires de la CISA sont depuis longtemps des standards dans l’industrie, notamment le développement de code sécurisé, a déclaré Scott Algeier, directeur exécutif du IT Information Sharing and Analysis Center.
“Bien que l’atteinte de ces objectifs soit précieuse, il est crucial de comprendre qu’aucune organisation n’a des ressources illimitées”, a indiqué Algeier à l’Information Security Media Group. “Certaines organisations devront peut-être prioriser certaines stratégies par rapport à d’autres.”
Au cours des deux dernières années, la CISA a mené une initiative encourageant les fabricants de technologie à intégrer la cybersécurité dans le développement de leurs produits, à publier des politiques de divulgation de vulnérabilités et à garantir un reporting transparent des vulnérabilités pour des tests publics. Au moins 68 entreprises technologiques ont rejoint l’engagement ‘Sécurisé par Design’ de la CISA l’année dernière, s’engageant à sept objectifs, tels que l’adoption de l’authentification multi-facteurs, l’élimination des mots de passe par défaut et des vulnérabilités clés, ainsi qu’une amélioration du patching de sécurité sur leurs produits (voir : Des géants de la technologie s’engagent dans le projet ‘Sécurisé par Design’).
Les dernières recommandations incluent des étapes spécifiques pour garantir que le secteur respecte ces principes, y compris la mise à disposition de factures de matériaux logiciels pour tous les clients. L’agence a reconnu le coût élevé et la complexité de cette recommandation, mais a souligné son impact significatif, la qualifiant de critique pour renforcer la cybersécurité.
Algeier a également suggéré que le coût et la complexité de la mise à disposition des factures de matériaux logiciels pour tous les clients pourraient poser des défis. “Je m’attends à ce que les entreprises continuent d’évaluer l’intérêt de rendre ces factures disponibles sur tous les produits pour tous les clients.”
La CISA a intensifié ses directives pour renforcer la cybersécurité dans le développement de logiciels à travers les secteurs d’infrastructure critiques. En octobre, elle a collaboré avec le FBI pour mettre en garde contre des “pratiques exceptionnellement risquées”, telles que l’utilisation de langages de programmation non sécurisés en mémoire dans de nouvelles lignes de produits, invoquant des menaces à la sécurité nationale et à l’infrastructure critique (voir : CISA dévoile des ‘pratiques logicielles exceptionnellement risquées’).
Dans un communiqué, la directrice de la CISA, Jen Easterly, a déclaré que les nouveaux objectifs spécifiques au secteur “aident les secteurs d’infrastructure critique à renforcer de manière significative la cybersécurité dans la conception et le développement de logiciels et de matériel”. Elle a ajouté que les organisations devraient “revoir et mettre en œuvre ces objectifs, ce qui favorisera la sécurité de la chaîne d’approvisionnement, y compris celle des consommateurs”.
Bon à savoir
- La segmentation des réseaux est essentielle pour protéger les environnements de développement contre les cyberattaques.
- L’authentification multi-facteurs est un élément clé pour renforcer la sécurité des systèmes informatiques.
- La transparence en matière de vulnérabilités peut contribuer à améliorer la confiance des consommateurs dans les produits technologiques.
La cybersécurité est un enjeu majeur qui touche aussi bien les entreprises que leurs utilisateurs. La sensibilisation à l’importance de ces mesures pourrait faire émerger une culture plus sécurisée, tant au niveau organisationnel que personnel. Quelles initiatives pourraient être mises en place pour renforcer encore davantage la coopération entre les secteurs public et privé dans ce domaine ?
- Source image(s) : www.bankinfosecurity.com
- Source : https://www.bankinfosecurity.com/cisa-issues-new-goals-to-strengthen-cybersecurity-a-27237
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.