Les logiciels sont un élément essentiel des missions militaires, mais pendant trop longtemps, les procédures de conformité en matière de sécurité du ministère de la Défense ont empêché les organisations de fournir des capacités logicielles pertinentes aux combattants.
Les exigences des missions et les cybermenaces évoluent rapidement. Rester à jour nécessite des pratiques de développement agiles qui intègrent et fournissent en permanence des logiciels de haute qualité avec un risque réduit. Les autorisations de sécurité doivent être tout aussi agiles, mais la recherche répétée d’une autorité d’exploitation, ou ATO, prend notoirement beaucoup de temps. Attendre un ATO et réaliser des évaluations est souvent l’étape la plus longue du déploiement d’un logiciel. Ces retards peuvent avoir des conséquences importantes, notamment sur le champ de bataille.
Il existe de meilleures façons de gérer les risques liés aux systèmes d’information. Les responsables du DoD ont récemment publié le Guide de mise en œuvre de l’autorisation continue DevSecOps, qui décrit les principes du modèle d’autorité continue d’exploitation, ou cATO. Une fois qu’un système a obtenu son autorisation initiale, la mise en œuvre correcte de cATO à la manière de l’autorisation continue est une étape fondamentale dans la vision du département visant à créer un environnement de développement plus rapide et plus sécurisé et à atteindre la suprématie logicielle.
Qu’est-ce que cATO ?
L’obtention d’une autorisation d’utilisation traditionnelle nécessite une vérification ponctuelle des contrôles de sécurité qui peut durer des mois. L’exercice se répète lorsque de nouvelles fonctionnalités sont déployées ou que l’autorisation expire. Pendant ce temps, les cyber-adversaires continuent de dévoiler de nouvelles menaces.
Le cATO est une autorisation permanente de livraison continue après l’obtention de l’autorisation initiale. Il permet à une organisation de créer et de publier de nouvelles fonctionnalités système si elle peut les surveiller en permanence par rapport aux contrôles de sécurité approuvés. Pour obtenir le cATO, le DoD identifie trois critères que les organisations doivent respecter :
— Surveillance continue des contrôles de sécurité.
— Mesures actives de cyberdéfense.
— L’adoption des pratiques DevSecOps.
Le passage d’examens périodiques à une surveillance constante évite toute dérive en matière de conformité et crée une posture de cybersécurité plus solide. Ce n’est pas seulement de la théorie ; c’est un concept éprouvé. En tant que co-fondateur de Kessel Run de l’US Air Force, nous avons initialement conçu cATO comme une approche spécifiée d’autorisation continue pour une livraison continue, sans lésiner sur les raccourcis.
Nous avons appliqué les principes DecSecOps pour répondre aux exigences du cadre de gestion des risques (RMF) du National Institute of Standards and Technology. En avril 2018, les responsables du DoD ont approuvé le cATO pour les systèmes de Kessel Run. L’autorisation en cours a été accordée au moment de la publication et l’a supprimée en tant que goulot d’étranglement pour le délai d’exécution et la fréquence de déploiement. Les organisations DevOps très performantes qui utilisent cette approche atteignent souvent des délais d’exécution et une fréquence de déploiement mesurés en heures, ce qui est considéré comme « élite » dans le rapport sur l’état de DevOps.
Préparer les équipes à l’autorisation continue
La méthode cATO n’est pas une dérogation ni un raccourci vers la conformité avec le RMF. Au contraire, elle aborde les exigences à chaque étape du cycle de vie du développement logiciel afin de réduire les risques. Lorsqu’elle est mise en œuvre correctement, l’adoption de cette stratégie d’autorisation continue consiste toujours à autoriser le système, et non à « autoriser les personnes et le processus » ou à utiliser des « pipelines cATO ». Cela dit, les entrées qui génèrent des sorties sécurisées et autorisées pour un environnement fiable et transparent sont les bonnes personnes, les bons processus et les bonnes technologies.
Pour commencer, les dirigeants doivent favoriser une culture de sensibilisation à la sécurité dans toute l’organisation en éliminant les obstacles bureaucratiques et en recrutant les bons talents techniques. Pour faire un pas en avant, il faut lui laisser de la place. Par exemple, en supprimant les tâches à faible valeur ajoutée des plannings des développeurs ou en supprimant les retards, ils ont le temps de travailler sur la sécurité dans le cadre de leurs tâches habituelles.
Les programmes doivent disposer d’au moins un évaluateur technique indépendant dédié pour leurs équipes, qui travaille pour leur évaluateur des contrôles de sécurité et leur responsable autorisé, afin de contribuer à mettre le logiciel en production plus efficacement. Et parce que la sécurité ne se fait pas en silo, établissez des lignes de communication ouvertes entre les équipes de sécurité, de développement et d’exploitation pour synchroniser les dernières exigences de la mission.
Construire une base de sécurité
Un élément technique essentiel de l’autorisation continue consiste à maximiser l’héritage de contrôle commun. Le RMF permet aux applications déployées au-dessus des environnements cloud et de plateforme d’hériter des contrôles sous-jacents. Les organisations telles que les usines de logiciels ou les programmes de niveau de service avec des milliers d’applications peuvent rapidement réaliser des économies de temps et d’argent en élaborant une architecture pour ces fournisseurs de contrôles communs autorisés.
Le DoD a la possibilité d’améliorer son efficacité en fournissant des bases de sécurité et des services cloud centralisés et héritables pour une utilisation à l’échelle du département ou, au minimum, à l’échelle de la mission. Des contrôles communs à l’échelle de l’entreprise amélioreraient la cyber-posture de l’ensemble du département et permettraient une livraison plus rapide des logiciels pour chaque service et composant.
Construire un système transparent
La mise en œuvre réussie de cATO nécessite que les organisations comprennent en profondeur un système et les effets en cascade de toute modification apportée à celui-ci. Les organisations doivent se concentrer sur la transparence et la traçabilité, en adoptant une mentalité « tout en tant que code » pour garantir que les contrôles restent dans les configurations approuvées.
Les processus nécessitent une numérisation et, lorsque cela est possible, une automatisation, y compris la documentation et l’évaluation des preuves. Les plateformes de gouvernance, de risque et de conformité les plus couramment utilisées n’ont pas été conçues pour les autorisations continues ; les systèmes capables de gérer des ensembles de preuves modulaires devront peut-être remplacer les plates-formes obsolètes. Donnez aux évaluateurs techniques indépendants de l’équipe l’accès aux journaux, aux référentiels de codes et aux tableaux de bord pour surveiller les contrôles et communiquer les modifications aux autorités ordonnatrices si nécessaire.
Une idée fausse est que les pipelines sont une baguette magique pour l’ACTO. Bien qu’il s’agisse d’un outil essentiel, il en faut bien plus pour une autorisation continue. Une façon intelligente d’utiliser les pipelines consiste à intégrer des analyses qui évaluent les logiciels par rapport aux accords de niveau de service et les bloquent de l’environnement de production si des problèmes persistent.
En fin de compte, une organisation qui souhaite obtenir la certification cATO doit produire un système sécurisé et proposer de nouvelles fonctionnalités dans un profil de risque acceptable. Les autorisations continues sont le moyen le plus efficace pour le DoD de rationaliser la distribution de logiciels et de garantir un avenir où moins de problèmes se produisent à cause de logiciels défectueux.
Bryon Kroger est PDG et fondateur de Rise8 et co-fondateur de Kessel Run de l’US Air Force, la première usine de logiciels du ministère de la Défense, où il a été le pionnier du cATO.
