Rôle du SBOM dans l'EO14028, le CRA, la FDA, la NIS2, le DORA et le PCI DSS
6 sept. 2024
Interlynk
Maintenir la sécurité des logiciels est plus critique que jamais dans le paysage numérique d'aujourd'hui. Les organismes de réglementation à travers le monde ont reconnu cela, imposant des cadres complets de conformité en matière de cybersécurité. Un élément clé de ces cadres est le Logiciel Bill of Materials (SBOM), une liste détaillant les composants qui composent un produit logiciel.
Le SBOM est devenu essentiel en matière de cybersécurité, et la conformité à plusieurs réglementations l'exige maintenant explicitement.
Explorons le rôle du SBOM dans les grandes réglementations telles que le Cyber Resilience Act, la conformité en matière de cybersécurité de la FDA, le Décret Exécutif 14028 et comment il soutient la conformité avec NIS2, DORA, et PCI DSS 4.0, même s'il ne s'agit pas d'un élément obligatoire dans certains cas.
SBOM comme artefact requis
Lois sur la Résilience Cybernétique (CRA)
La Loi sur la Résilience Cybernétique de l'Union Européenne vise à établir des normes de cybersécurité claires pour les produits avec des éléments numériques. La loi exige explicitement l'inclusion d'un SBOM pour s'assurer que les fabricants, développeurs et opérateurs comprennent les composants du logiciel, aidant ainsi à atténuer les risques liés aux vulnérabilités dans des logiciels tiers. Le SBOM agit comme un document critique pour la transparence et la responsabilité.
Conformité à la Cybersécurité de la FDA
L'Administration américaine des aliments et des médicaments (FDA) exige désormais un SBOM dans le cadre des soumissions préalables à la mise sur le marché des dispositifs médicaux. Cette exigence, en vigueur depuis octobre 2023, garantit que tous les logiciels et composants d'un dispositif médical sont divulgués. Cela aide à identifier et atténuer les risques de cybersécurité potentiels, protégeant ainsi la sécurité des patients.
Décret Exécutif 14028
Ce décret exécutif, émis par le Président Biden en mai 2021, vise à améliorer la posture de cybersécurité de la nation. Une exigence fondamentale est que les agences fédérales acquièrent des logiciels incluant un SBOM. Cette politique favorise la transparence et permet une meilleure gestion des vulnérabilités à travers les chaînes d'approvisionnement en logiciels.
SBOM pour une conformité élargie : NIS2, DORA et PCI DSS 4.0
Bien que le SBOM ne soit pas un artefact requis dans certaines régulations, c'est tout de même un outil extrêmement utile pour répondre aux exigences de conformité. Voici comment il joue un rôle dans les cadres clés :
Directive NIS2
La Directive NIS2 de l'UE se concentre sur le renforcement de la cybersécurité des infrastructures critiques à travers l'union. Bien que le SBOM ne soit pas explicitement imposé, avoir un SBOM peut être un atout précieux pour démontrer la diligence raisonnable dans la sécurisation des chaînes d'approvisionnement en logiciels. Avec les SBOM, les organisations peuvent montrer une compréhension plus approfondie des vulnérabilités de leur logiciel et prendre des mesures proactives pour atténuer les risques.
Loi sur la résilience opérationnelle numérique (DORA)
DORA vise à renforcer la résilience cybernétique des entités financières au sein de l'UE. Bien que la loi n'impose pas explicitement l'utilisation d'un SBOM, l'intégration d'un dans le cycle de vie des logiciels permet aux institutions financières de mieux gérer les risques liés aux tiers. Les SBOM améliorent la conformité en augmentant la transparence des composants logiciels, ce qui est essentiel pour traiter rapidement les vulnérabilités.
La DORA accorde une grande importance aux cadres de gestion des risques ICT robustes pour assurer la résilience opérationnelle. Un SBOM soutient ces efforts en créant un inventaire complet des composants logiciels et en identifiant les vulnérabilités connues. De plus, la DORA exige une gestion efficace des risques dans l'ensemble de la chaîne d'approvisionnement ICT. Les SBOM facilitent cela en mettant en évidence les composants malveillants, obsolètes, en fin de vie ou vulnérables au sein de la chaîne d'approvisionnement, offrant une vue plus claire des risques potentiels.
La loi impose également des tests de résilience et des capacités de réponse aux incidents. Les SBOM sont conçus pour minimiser les temps de réponse aux vulnérabilités de jour zéro en suivant les composants logiciels et leurs vulnérabilités associées.
De plus, la DORA s'aligne sur des normes mondiales comme la Directive NIS2. L'adoption des SBOM aide à rapprocher la conformité avec les deux cadres, promouvant des pratiques unifiées tout en préparant les organisations à d'autres exigences de transparence logicielle, telles que les mandats SBOM de la loi sur la résilience cybernétique.
PCI DSS 4.0
La dernière version de PCI DSS se concentre sur la sécurisation des données de carte de paiement dans un paysage de menaces de plus en plus complexe. Bien que le SBOM ne soit pas directement requis, il peut considérablement simplifier la conformité en fournissant une compréhension claire des composants logiciels tiers et de toutes les vulnérabilités potentielles. Cela s'aligne avec l'accent mis par le PCI DSS 4.0 sur le maintien de contrôles robustes sur les logiciels pour protéger les données sensibles.
Chronologies
Chaque règlement a sa propre chronologie pour la mise en œuvre de ces exigences en matière de cybersécurité. Voici les dates connues pour plusieurs réglementations clés :
Conformité en matière de cybersécurité de la FDA : En vigueur octobre 2023
Loi sur la résilience opérationnelle numérique (DORA) : En vigueur 17 janvier 2025
PCI DSS 4.0 : Appliqué à partir de mars 2025, avec une certaine flexibilité pour les entités afin de passer à la nouvelle version.
Directive NIS2 : Les États membres ont jusqu'à octobre 2024 pour intégrer la directive dans le droit national.
Loi sur la résilience cybersécuritaire (CRA) : La date limite de mise en œuvre finale est encore en évolution mais devrait être atteinte d'ici 2025.
Ordre exécutif 14028 : Les exigences SBOM sont actuellement appliquées aux agences fédérales acquérant des logiciels, et les directives sont mises à jour régulièrement.
Dans le paysage évolutif des réglementations en matière de cybersécurité, le SBOM est devenu un outil essentiel pour la gestion des vulnérabilités et la garantie de conformité. C'est un artéfact requis pour des cadres comme la Loi sur la résilience cybersécuritaire, la conformité en matière de cybersécurité de la FDA et l'Ordre exécutif 14028, où la transparence dans la composition des logiciels est vitale. Bien que des réglementations comme NIS2, DORA et PCI DSS 4.0 ne soient pas obligatoires, le SBOM apporte une valeur significative en garantissant la résilience, la transparence et une réponse plus rapide aux incidents, en faisant ainsi un atout stratégique pour la conformité dans divers secteurs.
Comprendre les différentes chronologies de mise en œuvre et les exigences peut aider les organisations à se préparer proactivement à respecter ces normes et à améliorer leur posture cybersécuritaire.