Home Sécurité Conformité avec le décret 14028 du gouvernement américain

Conformité avec le décret 14028 du gouvernement américain

Chers clients et partenaires,

Nous sommes fiers d’annoncer notre conformité avec le décret américain 14028 « Improving the Nation’s Cybersecurity » (Renforcer la cybersécurité de la nation). Cette étape souligne notre engagement continu à renforcer la sécurité et la durabilité de nos produits, ainsi que notre assistance aux partenaires au service du gouvernement américain.

Nous avons mis en œuvre plusieurs initiatives clés pour nous aligner sur les directives du décret présidentiel 14028, en établissant des normes, des procédures et des critères pour :

  1. Maintain a secure software development environment, including actions such as:
    • L’utilisation d’un environnement de build distinct
    • L’audit des relations de confiance
    • L’utilisation de l’authentification multifacteur basée sur les risques et de l’accès conditionnel à un référentiel source
    • Le chiffrement des données essentielles
    • La surveillance des opérations et des alertes et la réponse aux cyberincidents
    • Fournir aux agences du gouvernement fédéral américain, sur demande, des éléments attestant de la conformité aux processus susmentionnés
  2. Exécuter régulièrement des outils automatisés pour :
    • Garantir des chaînes logistiques logicielles fiables, afin de préserver l’intégrité du code
    • Identifier et corriger les vulnérabilités potentielles connues dans la base de code
    • Fournir les preuves de l’utilisation des outils automatisés aux agences du gouvernement fédéral américain qui en font la demande
  3. Maintenir et auditer régulièrement des données précises et à jour ainsi que la provenance (c’est-à-dire l’origine) du code et des composants logiciels internes et de tiers.
  4. Mettre en œuvre un programme de divulgation des vulnérabilités qui comprend des processus de rapports et de divulgation.
  5. Attester de la conformité aux pratiques de développement de logiciels sécurisés à l’aide d’attestations de logiciels sécurisés.
  6. Garantir, dans la mesure du possible, l’intégrité et la provenance des logiciels libres utilisés dans toute partie de nos produits.
  7. Mettre en place des processus internes pour générer des attestations de logiciel et d’autres éléments, tels que des SBOM, pour les produits Fiery vendus au gouvernement fédéral américain, et les charger dans le référentiel RSAA de la CISA.

Foire aux questions

En quoi consiste le décret exécutif 14028 ?

Le décret 14028 est un décret du président américain publié en 2021. Le décret présidentiel 14028 répond au nombre croissant de cyberattaques contre les agences du gouvernement américain et les infrastructures critiques. Il vise à aider le gouvernement américain et le secteur privé à collaborer pour mieux se protéger contre ces menaces. Un aspect important du décret 14028 est qu’il établit un cadre pour améliorer la sécurité de la chaîne logistique des logiciels.

Pourquoi le décret 14028 est-il important pour Fiery ?

Les partenaires Fiery vendent activement des produits et des services au gouvernement américain et exigent que tous les logiciels Fiery soient conformes à ce décret présidentiel.

Quels sont les produits Fiery concernés par le décret 14028 ?

Toutes les applications logicielles Fiery développées après le 14 septembre 2022.

Quand les agences du gouvernement américain commenceront-elles à appliquer le décret 14028 ?

Le décret est en vigueur depuis le 11 juin 2024
« Les agences doivent collecter les documents d’attestation non publiés publiquement par les fournisseurs de logiciels pour les [logiciels critiques] dans les 3 mois suivant l’approbation du formulaire commun. » Le formulaire commun a été approuvé le 11/3/2024

Comment le décret 14028 affecte-t-il les mises à jour des versions existantes des logiciels ?

Les logiciels existants modifiés par des changements de version majeurs (par exemple, en utilisant un schéma de versionnement sémantique de Majeur.Mineur.Correctif, ou le numéro de version du logiciel passant de 2.5 à 3.0 après le 14 septembre 2022 ; sont impactés et doivent se conformer à ce décret. Le logiciel Fiery suit un schéma de versionnement à trois chiffres, Majeur.Mineur.Correctif, appliqué de manière incrémentielle. Par exemple, v1.0.2 ; où 1 est la version majeure, 0 la version mineure et 2 désigne les correctifs ou les mises à jour de sécurité. Pour les besoins de la conformité au décret 14028, le logiciel Fiery ne prend en compte que la version majeure. Les mises à jour mineures de logiciels (par exemple CWS 7.1.0) et les correctifs (par exemple CWS 7.1.1) n’entrent pas dans le champ d’application du présent décret.

Comment le décret 14028 traite-t-il les produits de type « Software-as-a-Service » (SAS) ?

Les logiciels dont le code est modifié en permanence par l’éditeur (tels que les produits de type logiciel-service ou d’autres produits utilisant la livraison continue/le déploiement continu) sont impactés et doivent se conformer à ce décret.

Existe-t-il d’autres exigences que les attestations de logiciels sécurisés pour prouver la conformité ?

À la demande de toute agence gouvernementale américaine, nous pouvons démontrer la conformité aux pratiques de développement de logiciels sécurisés (SSDP) et fournir les éléments correspondants tels que la nomenclature logicielle (SBOM) pour le produit.

Les attestations de logiciels sécurisés de Fiery incluront-elles les logiciels tiers fournis avec le serveur d’impression numérique Fiery ? Par exemple, le logiciel Adobe ou le logiciel Microsoft.

Non. Il incombe aux fabricants de logiciels tiers de fournir une attestation pour leurs produits.

Qu’en est-il des logiciels libres fournis avec les serveurs d’impression numérique Fiery ?

Les logiciels open source tiers inclus dans les serveurs d’impression numérique Fiery ne relèvent pas du champ d’application de ce décret.

Pour plus d’informations sur nos initiatives en matière de cybersécurité, consultez notre site web à l’adresse : https://www.fiery.com/security/.