Applications langue – test : Apprendre une langue en 10 jours

Applications pour apprendre une langue :

Le décret exécutif (EO) du président Biden sur la cybersécurité, publié le 12 mai, est un document tentaculaire et complet qui vise à corriger les faiblesses de l’écosystème de la sécurité numérique. Il est parsemé de près de 50 actions que le gouvernement fédéral doit prendre dans des délais extrêmement serrés, signalant l’urgence de la crise de cybersécurité à laquelle le pays est confronté. Plusieurs parties de l’OE cherchent à renforcer la sécurité des logiciels. Ce sujet obscur et longtemps négligé a pris une nouvelle urgence à la suite des piratages de la chaîne d’approvisionnement des logiciels SolarWinds et Microsoft Exchange. La première échéance de sécurité logicielle dans l’OE, attribuée principalement à l’Institut national des normes et de la technologie (NIST) du Département du commerce, est de publier une définition de ce qui constitue un « logiciel critique », qui à son tour déclenchera des actions par d’autres agences gouvernementales. La date limite du NIST pour produire cette définition est le 26 juin, c’est pourquoi l’agence a organisé un atelier rapidement organisé les 2 et 3 juin auquel ont assisté environ un millier de parties intéressées. Quinze jours après la publication de la définition du NIST des logiciels critiques, une autre branche du Le Département du commerce, la National Telecommunications and Information Administration (NTIA), publiera des « éléments minimums » de quelque chose qui a évolué au cours des dernières années dans le domaine de la cybersécurité, une nomenclature de logiciels ou SBOM. Qu’est-ce qu’un SBOM ? Le SBOM est « un rack de dépendances », a déclaré Allan Friedman, responsable des activités SBOM du gouvernement et directeur des initiatives de cybersécurité à la NTIA, lors de l’atelier du NIST. « À la base, ce n’est pas si compliqué. C’est dire ‘Hé, ce logiciel que j’ai. Qu’est-ce qu’il contient et qu’est-ce qu’il contient à son tour [the components that make up the software]« Un SBOM est en fait une liste d’ingrédients ou un inventaire imbriqué, un « enregistrement formel contenant les détails et les relations de la chaîne d’approvisionnement de divers composants utilisés dans la construction de logiciels », déclare l’OE. L’OE exige que la NTIA produise trois éléments minimums proposés qui doit aller dans n’importe quel SBOM : Champs de données (tels que le nom du fournisseur, le nom du composant, la version du composant, etc.) Considérations opérationnelles (telles que la fréquence de génération du SBOM, la profondeur de l’arbre de dépendance, l’accès aux données du SBOM, etc.) pour l’automatisation (en s’assurant que les données peuvent être produites à grande échelle et consommées à grande échelle en utilisant trois formats de données différents déjà standardisés, y compris trois principaux formats de fichiers connus sous le nom de SPDX, CycloneDX et SWID). La NTIA examine également plusieurs questions connexes, telles que la façon dont Les données SaaS (logiciel en tant que service) ou cloud peuvent différer des logiciels sur site et comment penser à des modèles de menace de chaîne d’approvisionnement plus sophistiqués. Les SBOM en tant que désinfectant logiciel Le vétéran de la sécurité Joshu a Corman, un grand partisan de SBOM et actuellement chercheur invité à la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security, a présenté au moins trois cas d’utilisation de SBOM devant le sous-comité du House Oversight and Government Reform Committee en octobre 2017. A l’acheteur pourrait distinguer les bons et les mauvais produits logiciels au moment de l’achat, ce qui pourrait finalement et cumulativement chasser les produits logiciels potentiellement dangereux du marché si la théorie « la lumière du soleil est le meilleur désinfectant » tient. Lorsqu’une nouvelle vulnérabilité est connue, les professionnels de la sécurité seraient en mesure de déterminer rapidement si elles sont affectées et où elles sont affectées. Les entreprises seraient en mesure de suivre l’expiration du support produit pour les logiciels, étant donné que le SBOM pourrait être le seul moyen de savoir que les mises à jour de sécurité pour le produit n’arriveront plus. Pour certains professionnels de la sécurité, les SBOM d’une organisation du secteur privé peuvent être un signe du calibre global de l’organisation. « C’est une question test décisive pour comprendre par moi-même dans quoi je m’embarque », a déclaré à CSO Sounil Yu, ancien scientifique en chef de la sécurité chez Bank of America et maintenant CISO et responsable de la recherche chez JupiterOne. « Est-ce que je vais dans une situation où il y a un chaos et une désorganisation complets, ou une pile technologique complètement archaïque qui créerait pour moi, en tant que RSSI, des dangers auxquels je vais devoir faire face parce que la pile technologique et la maturité du organisation sont pauvres ? » La transparence pourrait conduire à une plus grande confiancePlus fondamentalement, les experts SBOM disent qu’il s’agit de transparence, qui conduit à une plus grande confiance. « Vous n’avez pas besoin de confiance si vous avez de la transparence », dit Yu. « Vous avez besoin de confiance car vous n’avez pas de transparence. Si je peux produire pour vous un SBOM, le tenir à jour régulièrement, je suis transparent, ce qui réduit d’autant votre besoin de me faire confiance. » La transparence délivrée par SBOM s’aligne sur la référence répétée à la « confiance zéro » tout au long du décret. « Nous prenons le concept de confiance zéro et l’appliquons aux fournisseurs », déclare Yu. « Cela signifie que si nous commençons avec une confiance zéro, nous devons compenser cette confiance zéro par la transparence et que la transparence vient de choses comme SBOM. » Les nomenclatures ne sont pas nouvellesBien qu’il s’agisse d’un concept relativement nouveau en matière de cybersécurité, les nomenclatures font partie d’autres exigences des industries depuis des décennies. L’ingénieur américain, innovateur et spécialiste de la gestion Edward Demings a été le pionnier du concept de nomenclature chez Toyota dans les années 1940. Dernièrement, l’industrie médicale a construit des chaînes d’approvisionnement technologiques résilientes à l’aide de SBOM, Philips Medical et Siemens Healthineers mettant en pratique la théorie des SBOM au cours des dernières années. « Les nomenclatures sont la norme dans tous les autres secteurs », déclare Jennings Aske, vice-président senior et RSSI du New York-Presbyterian Hospital, au CSO. « Pourquoi pas des logiciels ? Exposer simplement les ingrédients des logiciels améliorerait la sécurité et la sûreté des logiciels. produits, bien que de nombreuses organisations soient susceptibles de s’opposer à une telle exposition. « Je compare cela à la sécurité automobile », dit Aske. « Quand Ralph Nader faisait pression pour les ceintures de sécurité, les gens pensaient : « Eh bien, elles ne sont pas nécessaires » ou « C’est la portée excessive du gouvernement » ou « les clients ne vont pas l’aimer ». Et puis des entreprises comme Volvo ont compris que cela pourrait en fait être quelque chose qu’elles pourraient utiliser pour vendre leurs produits. Ils pourraient facturer plus. » « Je pense que nous devrions prendre le SBOM comme un concept, prendre les choses dans le décret, les rendre nationaux dans tous les secteurs de l’industrie et donner aux gens le temps de se mettre en conformité avec la possibilité de créer des SBOM », a déclaré Aske. .NIST prendra les éléments minimaux du SBOM que la NTIA produit et les inclura dans les directives de sécurité de base préliminaires pour les logiciels commerciaux vendus au gouvernement fédéral aux alentours du 8 novembre. Dans l’année suivant la date du décret, le Federal Acquisition Regulation (FAR) Le Conseil intégrera les lignes directrices dans le langage contractuel de tous les entrepreneurs fédéraux. Quel effet d’entraînement SBOM aura-t-il ? La question devient alors : le pouvoir d’achat massif du gouvernement fédéral se répercutera-t-il sur la création de produits logiciels sécurisés pour le secteur privé ? Privé les entreprises du secteur sont susceptibles d’acheter bon nombre, sinon la plupart, des mêmes produits que le gouvernement fédéral. affaires avec le gouvernement fédéral, et ils seront évidemment directement touchés », a déclaré Yu. « L’effet de second ordre, ces entreprises qui vendent à ces entreprises qui vendent au gouvernement fédéral, est beaucoup plus important. » L’impact de troisième ordre est probablement proche de 100 %, estime Yu. Aske dit qu' »il va y avoir un effet de ruissellement. Ce n’est pas un ruissellement; c’est un ruissellement. Nous avons plus de 1 400 fabricants d’appareils qui fournissent nos appareils. Il va y avoir un chevauchement, mais ce ne sera pas complet. » Copyright © 2021 IDG Communications, Inc.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *