Sägetstrasse 18, 3123 Belp, Switzerland +41 79 173 36 84 info@ict.technology

    L’Ordre exécutif américain impose les SBOMs et l’architecture Zero-Trust, et renforce la cybersécurité

    L’Ordre exécutif du 16 janvier 2025 sur le renforcement et la promotion de l’innovation dans la cybersécurité nationale souligne l’engagement de la Maison-Blanche à protéger l’infrastructure critique et l’écosystème numérique du pays. Reconnaissant la nature persistante et évolutive des menaces cyber, cet Ordre exécutif établit une série d’initiatives audacieuses visant à améliorer la cybersécurité dans les agences fédérales et le secteur privé. En mettant l’accent sur la collaboration, l’innovation technologique et les meilleures pratiques en matière de développement et de déploiement de logiciels, il pousse la nation vers un avenir numérique plus sûr. Au cœur de ces efforts, la section 2 met en lumière les Software Bills of Materials (SBOMs) – une mesure proactive destinée à accroître la transparence, la responsabilité et la confiance dans les chaînes d’approvisionnement en logiciels.

    Lien vers l’Ordre exécutif à la Maison-Blanche: Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity

     

    1. Aperçu et contexte de l’Ordre exécutif

    Cet Ordre exécutif s’inscrit dans la continuité des mesures fédérales précédentes visant à renforcer la cybersécurité nationale et à clarifier les attentes pour les agences gouvernementales comme pour les acteurs privés. Les initiatives antérieures incluaient déjà des directives sur l’architecture Zero-Trust, les menaces provenant d’adversaires étrangers et l’amélioration des cadres de gestion des risques. Toutefois, l’évolution rapide des cyberattaques et la dépendance grandissante à l’égard de fournisseurs tiers et de composants externalisés ont accru la nécessité d’une directive plus cohérente et détaillée.

    L’Ordre répond à ces défis en réaffirmant les meilleures pratiques, en imposant des obligations de conformité et en encourageant une collaboration étroite entre le secteur public et le secteur privé. Son champ d’application couvre aussi bien le partage en temps réel des menaces que le développement de technologies de pointe. En insistant sur la responsabilisation tout au long du cycle de vie des logiciels, il vise à réduire autant que possible les vulnérabilités exploitées par des acteurs malveillants.

    2. Section 1 : Renforcement des systèmes fédéraux

    La première section de l’Ordre exécutif vise la modernisation de l’infrastructure fédérale et encourage les agences à adopter des mesures de cybersécurité à la fois agiles et durables. Parmi les directives explicites figurent l’utilisation obligatoire de normes de chiffrement pour les données au repos et en transit, ainsi que des évaluations régulières des vulnérabilités. De plus, le gouvernement est tenu de migrer les services critiques hors des systèmes obsolètes, souvent peu sécurisés, en favorisant des solutions plus modernes (cloud ou conteneurisées) qui se patchent et s’adaptent plus facilement.

    L’un des points clés de la section 1 est l’exigence d’implémenter une architecture Zero-Trust. En éliminant toute confiance implicite à l’intérieur des réseaux et en vérifiant chaque demande d’accès à chaque étape, les agences peuvent mieux protéger leurs données sensibles. Elles doivent aussi créer des protocoles détaillés de réponse aux incidents afin de contenir et résoudre rapidement toute brèche éventuelle. Dans l’ensemble, ces mesures visent à renforcer la posture de sécurité de base sur laquelle les initiatives plus avancées – comme l’introduction des SBOMs – pourront s’appuyer efficacement.

    3. Section 2 : L’importance des Software Bills of Materials (SBOMs)

    La section 2 constitue le pivot de l’Ordre exécutif pour assurer une plus grande transparence dans la chaîne d’approvisionnement logicielle. Elle stipule que les producteurs et fournisseurs de logiciels destinés au gouvernement fédéral doivent obligatoirement fournir un SBOM complet avec chaque produit. Un SBOM est un inventaire détaillé répertoriant chaque composant – open source, propriétaire ou commercial – intégré au logiciel.

    En imposant les SBOMs, la section 2 répond aux zones d’ombre de la chaîne d’approvisionnement. Lorsqu’une vulnérabilité est découverte (comme les failles importantes au sein de bibliothèques open source), les agences et les acteurs privés peuvent immédiatement identifier les produits concernés. Cette exigence réduit la fenêtre de temps pendant laquelle les systèmes sont exposés et facilite un déploiement plus ciblé et efficace des correctifs. La section 2 insiste également sur la mise à jour rapide des SBOMs, garantissant que tout changement ou correctif appliqué au logiciel s’accompagne d’une version actualisée de l’inventaire.

    4. Avantages de l’adoption des SBOMs

    L’intégration des SBOMs dans le processus d’acquisition fédérale présente plusieurs avantages concrets. D’abord, cela instaure une responsabilisation claire en mettant en évidence l’origine de chaque composant logiciel, y compris les développeurs open source et propriétaires. Ce niveau de transparence encourage une culture où les vendeurs et les agences gouvernementales sont plus conscients des briques qu’ils intègrent.

    Ensuite, les SBOMs facilitent une gestion proactive des vulnérabilités. Avant la section 2, la découverte d’une brèche ou d’une faille pouvait déclencher une vérification laborieuse pour déterminer quels produits étaient touchés. Avec un SBOM, les responsables savent immédiatement quels composants sont en péril et accélèrent la mise en œuvre des correctifs. Cette approche systématique rend le déploiement des patchs plus rapide et plus efficace.

    Enfin, l’obligation de fournir des SBOMs encourage l’innovation dans l’automatisation des processus. Davantage d’éditeurs investissent maintenant dans des solutions qui assurent un suivi continu et une mise à jour automatique des composants. Grâce à cette automatisation, les équipes de développement conservent une visibilité en temps réel sur leur base de code, maintenant ainsi la conformité avec l’Ordre exécutif tout en favorisant un environnement d’innovation rapide.

    5. Collaboration avec le secteur privé

    Conscient de l’impact qu’auront ces nouvelles exigences sur l’économie en général, l’Ordre exécutif incite les agences fédérales à coopérer étroitement avec des leaders industriels, des fournisseurs de logiciels et des organismes de normalisation pour élaborer les bonnes pratiques en matière de création et de maintenance de SBOM. La Maison-Blanche encourage également l’adoption de formats lisibles par machine afin d’unifier les SBOMs à travers différents secteurs.

    En outre, le gouvernement souhaite simplifier les démarches de conformité afin d’éviter de pénaliser les petites et moyennes entreprises (PME). Alors que les grandes entreprises disposent souvent de ressources suffisantes, les PME nécessitent parfois un soutien financier et technique pour satisfaire aux nouvelles obligations. Une partie de la section 2 est donc consacrée à la création de programmes éducatifs, de modèles et de subventions destinés à faciliter l’intégration des SBOM chez ces acteurs plus modestes.

    6. Instaurer une culture d’amélioration continue

    L’Ordre exécutif ne se limite pas à imposer de nouveaux processus : il promeut également une approche évolutive. La section 2 exige notamment que les agences fournissent des retours réguliers sur la qualité, la complétude et l’efficacité des SBOMs qu’elles reçoivent. Ce cycle itératif de soumission, d’examen et de révision contribue à perfectionner les normes au fil du temps. Si certains composants ou approches révèlent des difficultés récurrentes, les données recueillies serviront à affiner soit le produit lui-même, soit les directives de création de SBOM.

    Par ailleurs, l’Ordre exécutif prévoit à terme le développement de dépôts sécurisés pour conserver et partager les SBOMs dans un format lisible par machine. Centraliser ces informations facilite l’analyse des tendances, la modélisation des risques et la détection avancée des menaces, car les modèles d’utilisation de la chaîne d’approvisionnement logicielle deviennent plus visibles et exploitables.

    7. Section 3 : Recherche, développement et projets pilotes

    Alors que la section 2 met l’accent sur l’exigence de SBOM dans les acquisitions fédérales, la section 3 élargit la réflexion en encourageant la recherche et de nouveaux projets pilotes en cybersécurité. Le texte insiste en particulier sur la cryptographie résistante à l’informatique quantique, anticipant les vulnérabilités susceptibles de voir le jour à mesure que l’informatique quantique se démocratise. L’Ordre exécutif fait aussi allusion à des projets pilotes pour tester des outils de sécurité s’appuyant sur l’intelligence artificielle.

    Ces projets sont intrinsèquement liés à la mise en place des SBOMs : les agences fédérales peuvent évaluer comment les technologies avancées automatisent la création et la gestion des SBOM ou intègrent un scan de vulnérabilités quasi en temps réel. Les enseignements tirés de ces initiatives viendront étoffer les réglementations à venir et contribuer à l’amélioration permanente des directives existantes.

    8. Application, délais et conséquences

    Pour souligner l’importance de ces directives, l’Ordre exécutif définit un calendrier précis. Les administrations fédérales doivent intégrer les SBOMs dans leurs processus d’acquisition dans un délai qui varie généralement de six à douze mois après la publication du texte. Les sous-traitants, fournisseurs et autres partenaires du secteur privé qui ne se conforment pas à ces exigences risquent des sanctions allant de la suspension de leurs contrats fédéraux à une surveillance accrue.

    En outre, l’Ordre exécutif demande à des organismes tels que la Cybersecurity and Infrastructure Security Agency (CISA) de renforcer leurs mécanismes d’audit. Ils procèderont à des contrôles aléatoires, notamment chez les fournisseurs les plus critiques, et vérifieront si les SBOMs sont à jour et exhaustifs. Cette approche clarifie que la conformité ne se limite pas à cocher des cases administratives, mais constitue un engagement de tous les instants.

    9. Implications futures et conclusion

    L’Ordre exécutif du 16 janvier 2025 représente une étape cruciale dans le renforcement de la posture de cybersécurité aux États-Unis. En rendant les SBOMs obligatoires, la Maison-Blanche oriente de fait l’industrie du logiciel vers un avenir où la transparence s’impose comme la norme, et non comme une simple option. Certes, la mise en œuvre suscitera des difficultés – notamment pour les organisations qui débutent dans l’élaboration de SBOM – mais l’impact global devrait être une infrastructure nationale plus robuste, avec des ripostes plus rapides et plus précises face aux menaces.

    Du point de vue de l’innovation, l’accent mis sur les technologies avancées, la collaboration public-privé et les approches pérennes fixe une orientation claire. En imposant aux agences l’adoption de l’architecture Zero-Trust et en responsabilisant les éditeurs sur les composants de leurs logiciels, le gouvernement fédéral jette les bases d’une culture où la cybersécurité est un processus continu, intégré et tourné vers l’avenir.

    En somme, cet Ordre exécutif inaugure une ère où la sécurité numérique est considérée comme un pilier essentiel de la prospérité nationale. La focalisation de la section 2 sur les SBOMs illustre le passage d’une stratégie réactive à une approche proactive, guidée par la data. Grâce à une visibilité plus fine sur les composants logiciels, les agences pourront réagir aux vulnérabilités avec une rapidité et une précision sans précédent. À terme, ces mesures – associées à la recherche, aux projets pilotes et à un solide dispositif de contrôle – renforceront la défense du pays contre les menaces cyber en constante évolution, tout en stimulant l’innovation dans le secteur.