Les nomenclatures logicielles (SBOM) sont utilisées pour sécuriser les appareils IoT industriels en améliorant la cybersécurité et la maintenance. Le cas d'utilisation normal des SBOM concerne les logiciels gérés par l'utilisateur. Cependant, les SBOM peuvent également être utilisées comme un outil pour décrire les logiciels préinstallés sur un appareil. Étant donné que les utilisateurs d'appareils n'ont pas de relation directe avec le fournisseur de logiciels, ils doivent s'appuyer sur le fabricant de l'appareil pour suivre et gérer les vulnérabilités de l'appareil. Voici les 10 principales choses que vous devez savoir sur l'utilisation des SBOM pour sécuriser les appareils IoT industriels :
1- Atténuation des risques et prise de décision
Les SBOM aident les développeurs de logiciels à atténuer les risques posés par les composants vulnérables, leur permettant de prendre des décisions telles que le remplacement de composants à haut risque ou la fourniture d'un correctif pour une vulnérabilité.
2 - Logiciels et micrologiciels
Il existe deux types de SBOM qui sont régulièrement développés : l'un est destiné aux produits logiciels gérés par l'utilisateur, et l'autre aux logiciels et micrologiciels installés sur un appareil IoT ou IIoT. La différence entre les deux est que les produits logiciels gérés par l'utilisateur ont déjà un logiciel préinstallé, tandis que les mises à jour logicielles d'un appareil IoT sont appliquées à distance par le fournisseur. Par conséquent, le propriétaire de l'appareil doit recevoir un SBOM pour chaque produit logiciel géré par l'utilisateur.
3 - Cybersécurité des composants et risques liés aux licences
Les SBOM gèrent deux principaux types de risques : les risques liés à la cybersécurité des composants et les risques liés aux licences des composants. Les risques liés aux licences des composants concernent principalement les développeurs de logiciels, tandis que les risques liés à la cybersécurité des composants ont un impact sur les objectifs organisationnels de l'entreprise.
4 - Format commun
CycloneDX et SPDX sont deux formats SBOM complets qui peuvent être représentés sous plusieurs formes. Bien que ces formes incluent des feuilles de calcul, les représentations les plus utilisées sont XML et JSON.
5 - VEX
Vulnerability Exploitability eXchange (VEX) est un type de document qui a été développé pour résoudre les vulnérabilités logicielles et est communément appelé « artefact compagnon » d'un SBOM. Les deux formats VEX existants sont lisibles par machine.
6 - Visibilité
Les vulnérabilités détectées dans les composants logiciels ne sont pas toutes exploitables et la plupart d'entre elles ne peuvent pas être exploitées par un attaquant doté de capacités communes pour compromettre le produit. Cependant, un utilisateur de logiciel ne saura pas si la vulnérabilité qui a été révélée est grave ou exploitable dans le contexte de l'utilisation prévue.
7 - Suivi
Les entreprises qui gèrent les vulnérabilités des composants dans les produits logiciels gérés par les utilisateurs doivent faire appel au fournisseur pour qu'il fournisse un nouveau SBOM à chaque fois qu'un changement est apporté au logiciel, ce qui peut impliquer un outil automatisé capable d'ingérer des SBOM et des documents VEX. Lorsque la compilation des vulnérabilités est effectuée régulièrement, l'organisation disposera toujours d'une liste à jour des vulnérabilités des composants exploitables qu'elle pourra intégrer dans ses outils de gestion des vulnérabilités. Elle peut également utiliser la liste pour se coordonner avec le fournisseur du produit et déterminer quand corriger les vulnérabilités exploitables graves.
8 - Obligations du fabricant
En raison de l'obligation du fabricant de l'appareil envers le client, il doit être en mesure de fournir au client un SBOM complet, qui est mis à jour chaque fois qu'une mise à jour logicielle est effectuée.
9 - Responsabilité du fabricant et du fournisseur
Le fabricant de l'appareil devient responsable de la correction des vulnérabilités graves si le fournisseur ne le fait pas pour une raison quelconque. En effet, le fabricant de l'appareil est celui qui a la relation directe avec l'utilisateur final et peut faire la demande au fournisseur.
10 - Suivi approprié
Pour suivre et traiter correctement les vulnérabilités des appareils, les fabricants doivent enregistrer l'appareil dans la base de données nationale des vulnérabilités et signaler les vulnérabilités des logiciels et des micrologiciels installés sur l'appareil.
Enfin, si vous souhaitez en savoir plus sur la manière d'utiliser les SBOM pour sécuriser les appareils IoT, nous vous recommandons vivement de lire davantage l' étude suivante publiée par l'IIC ou de contacter des experts spécialisés .