CISA publie des instructions pour la sécurité à la demande

Aujourd'hui, CISA et le Federal Bureau of Investigation (FBI) ont publié le guide Secure by Demand : Comment les clients de logiciels peuvent stimuler un écosystème technologique sécurisé pour aider les organisations à stimuler un écosystème technologique sécurisé en veillant à ce que les fabricants de logiciels accordent la priorité à la sécurité dès le début. Le personnel d'acquisition d'une organisation a souvent une compréhension générale des exigences de sécurité de base pour une acquisition technologique particulière. Cependant, ils ne vérifient pas fréquemment si un fournisseur donné a des pratiques et des politiques en place pour s'assurer que la sécurité est une considération centrale dès les premières étapes du cycle de vie de développement du produit. Ce guide fournit aux organisations des questions à poser lors de l'achat de logiciels, des considérations pour intégrer la sécurité du produit dans diverses étapes du cycle d'approvisionnement, et des ressources pour évaluer la maturité de la sécurité du produit conformément aux principes de conception sécurisée. Ce guide complète le "Guide d'acquisition de logiciels pour les consommateurs d'entreprise gouvernementale : Assurance logicielle dans le cycle de gestion des risques de la chaîne d'approvisionnement cyber (C-SCRM)" qui a été récemment publié. CISA encourage les organisations à consulter à la fois le guide Secure by Demand et le guide d'acquisition de logiciels, et à mettre en œuvre les actions recommandées.