1. Qu’est-ce qu’une nomenclature logicielle ? Pourquoi c’est important?
Un SBOM est une liste de tous les outils utilisés dans un logiciel spécifique, y compris les dépendances, les origines et l’historique des mises à jour. Étant donné que 75 % des bases de code sont composées de logiciels open source, les composants exacts sont souvent inconnus. Pourtant, lorsqu’une vulnérabilité critique est découverte, les organisations doivent rapidement déterminer si elle apparaît n’importe où dans leurs systèmes logiciels.
2. Quels sont les avantages de l’adoption de SBOM pour les soins de santé ?
Les cyberattaques contre les organisations de santé peuvent avoir des résultats dévastateurs. Une étude récente de Proofpoint suggère que les cyberattaques peuvent avoir un impact sérieux sur les soins et les résultats des patients. Une seule vulnérabilité dans un composant logiciel peut avoir un impact profond sur la santé, la confidentialité et la sécurité des patients. Les SBOM permettent aux organisations de savoir plus facilement si leur code est affecté par une vulnérabilité critique et de prioriser sa correction.
3. Comment les SBOM peuvent-ils améliorer la sécurité des dispositifs médicaux ?
Les soins de santé reposent sur des dispositifs médicaux connectés, tels que les stimulateurs cardiaques et les pompes à insuline. Mais 53 % des appareils présentent des vulnérabilités critiques connues qui peuvent permettre à des acteurs malveillants d’accéder au réseau du fournisseur. Les SBOM offrent une visibilité sur les composants affectés, créant une feuille de route pour identifier rapidement les appareils à risque et atténuer les vulnérabilités critiques.
4. Les SBOM peuvent-ils jouer un rôle dans la sécurité de la chaîne d’approvisionnement ?
Les SBOM aident l’acheteur, le fabricant et l’utilisateur final. Ils facilitent les communications ouvertes concernant les vulnérabilités sur l’ensemble de la chaîne d’approvisionnement des dispositifs médicaux, donnant aux développeurs les informations nécessaires pour suivre les relations de la chaîne d’approvisionnement. En assurant la transparence, les SBOM conduisent à une identification et une correction plus rapides des vulnérabilités, réduisant ainsi la capacité des cybercriminels à mener des attaques via des appareils connectés. Et ils le font sans augmenter significativement les coûts de production des logiciels.
5. Quelles sont certaines réglementations et normes SBOM ?
Les directives mises à jour de la Food and Drug Administration des États-Unis exigent que les nouveaux demandeurs de dispositifs médicaux fournissent des SBOM pour chaque nouvelle version du logiciel. Il existe trois formats acceptés pour les SBOM : CycloneDX, Software Package Data Exchange (SPDX) et Software Identification tags (SWID), tous lisibles par des outils tels que les scanners de vulnérabilité. Des conseils sur ce qu’il faut inclure peuvent être trouvés dans « Les éléments minimaux pour une nomenclature logicielle (SBOM) » publié en réponse au décret exécutif sur la cybersécurité de la Maison Blanche.
