A la suite du Solorigate, l’administration Biden prépare un ordre exécutif qui obligera les fournisseurs de logiciels à notifier leurs clients du secteur public en cas de faille de sécurité.
Entre SolarWinds et le groupe Hafnium, qui a exploité plusieurs vulnérabilités de Microsoft Exchange dans le cadre d’une campagne de cyber-espionnage, les éditeurs et vendeurs de logiciels sont dans le viseur de Washington. L’administration Biden plancherait sur un décret à l’attention du secteur du logiciel, à en croire Reuters qui a pu en consulter le brouillon. Si une porte-parole du National Security Council a confirmé l’existence de ce projet d’executive order, qui pourrait être publié dès la semaine prochaine, elle a précisé que son contenu est susceptible de changement.
Contourner les accords de non-divulgation
Pour l’heure, l’acte exécutif imposerait aux fournisseurs de logiciels, notamment ceux qui comptent parmi leurs clients des agences fédérales, une série de nouvelles obligations. A commencer par une obligation de notification en cas d’exploitation de vulnérabilités qui outrepasse les clauses de non-divulgation contenues dans les contrats entre les fournisseurs et leurs clients.
En outre, les éditeurs devront adopter une nouvelle nomenclature relative aux services essentiels et au contenu des logiciels et travailler plus activement avec les autorités, FBI et CISA en tête, notamment dans leur réponse aux incidents. Dans les faits, ces changements s’appliqueront par de nouvelles règles dans les processus d’achat des agences fédérales. Reuters rapporte que, par le passé, le Congrès avait tenté sans succès de passer un texte de loi similaire, mais s’était heurté à la résistance de l’industrie.