Publication du guide "Cloud Supply Chain Security" (sécurité de la chaîne d'approvisionnement en nuage)
Les attaques de la chaîne d'approvisionnement ont nettement augmenté. Le guide que vient de publier l'association allemande de la sécurité informatique décrit, outre les Software Bill of Materials (SBOM), d'autres mesures de protection que les entreprises utilisatrices peuvent prendre pour améliorer la sécurité de la chaîne d'approvisionnement dans le cloud.
En informatique, la chaîne d'approvisionnement est la chaîne de livraison de tous les sous-produits et fournitures qui composent un service ou une application informatique. Pour tout type de logiciel, mais en particulier pour les services en nuage, une telle chaîne d'approvisionnement se compose d'innombrables fournisseurs et produits qui sont soit utilisés directement ou indirectement, soit contribuent à la création ou à l'exécution des pièces. C'est ce qu'écrit le Bundesverband IT-Sicherheit (TeleTrust). Dans le meilleur des cas, le producteur ou le fournisseur des pièces vérifie lui-même les caractéristiques de sécurité des composants utilisés directement. Mais l'utilisateur n'a normalement pas la possibilité de constater l'utilisation d'un composant concerné, ni d'intervenir pour corriger les points faibles - une situation inacceptable, selon TeleTrust.
Mise à disposition de SBOM comme norme de marché
Pour résoudre le problème du manque de transparence, il faut passer par la Software Bill of Materials (SBOM). Une SBOM est une liste de tous les composants contenus dans une application logicielle. "Si de nouveaux éléments apparaissent concernant des erreurs et des vulnérabilités dans ces composants, les utilisateurs peuvent rapidement déterminer s'ils sont potentiellement concernés et si les applications qu'ils utilisent sont menacées", souligne TeleTrust. On s'attend à ce que la mise à disposition de SBOM par les fournisseurs et les exploitants de logiciels et de services devienne la norme du marché.
Oliver Dehning, responsable du groupe de travail TeleTrust "Cloud Security" : "Les Software Bill of Materials (nomenclatures logicielles, SBOM) actuelles sont la base d'une plus grande transparence dans la chaîne d'approvisionnement en nuage et donc d'une plus grande sécurité dans l'utilisation des services en nuage. Les utilisateurs peuvent contribuer de manière significative à l'amélioration de la sécurité dans leur chaîne d'approvisionnement en nuage s'ils incluent la fourniture de SBOM par les fournisseurs dans leur catalogue d'exigences. De leur côté, les fournisseurs devraient mettre ces informations à la disposition de leurs utilisateurs, permettant ainsi une gestion active de la cybersécurité, y compris dans le cloud".
