ce que c’est:
Le matériel, les logiciels et les micrologiciels sont les trois composants principaux qui composent les ordinateurs et les systèmes actuels. Le matériel comprend les composants physiques d’un système informatique, qui peuvent s’user avec le temps et nécessiter un remplacement. Le logiciel comprend des ensembles d’instructions qui permettent une variété d’entrées de l’utilisateur., Le micrologiciel est un type spécifique (ou un sous-ensemble) de logiciel conçu pour servir d’intermédiaire entre le logiciel et le matériel ou pour le fonctionnement de systèmes embarqués à usage unique, tels que des imprimantes ou des routeurs. Les utilisateurs finaux ont généralement une interaction limitée avec le micrologiciel et il est modifié rarement. Voici des exemples de ces composantes principales:
Pourquoi est-ce important:
Le matériel, les logiciels et les micrologiciels jouent chacun un rôle dans la technologie de l’information (TI) utilisée par les fonctionnaires électoraux., Dans un écosystème électoral, la machine de vote physique est le matériel, l’application de programmation de vote est le logiciel, et les lecteurs de codes à barres fonctionnent probablement sur le firmware. Cela est important à comprendre du point de vue de l’approvisionnement, car les fonctionnaires électoraux cherchent à obtenir du nouvel équipement. Différents composants peuvent être développés et fabriqués par divers fournisseurs, puis emballés par un seul fournisseur. Cela a une incidence sur la nécessité de mener une gestion adéquate des risques liés à la chaîne d’approvisionnement.,
Les différences entre le matériel, le logiciel et le micrologiciel sont importantes pour la gestion des correctifs et des vulnérabilités. En tant que composant physique, les vulnérabilités matérielles sont difficiles à corriger sans remplacement complet, bien que certaines puissent être atténuées par des mises à jour du micrologiciel. Dans le passé, le micrologiciel était difficile à mettre à jour car il résidait généralement sur une mémoire en lecture seule. Bien que les mises à jour soient maintenant plus courantes, elles présentent un risque relativement élevé d’impact sur les fonctionnalités, de sorte que les fabricants hésitent à les fournir fréquemment., Les vulnérabilités logicielles sont généralement les plus faciles à corriger, traditionnellement grâce à des mises à jour de sécurité régulières. Les vulnérabilités logicielles restent le principal vecteur utilisé par les acteurs de la cybermenace pour exploiter les systèmes, faisant du logiciel le composant système le plus important à surveiller et à mettre à jour avec des correctifs de sécurité de routine et ad hoc.
enfin, la fin de support du fournisseur a un impact différent sur le matériel, les logiciels et les micrologiciels. Dans certains cas, les logiciels de fin de support peuvent devenir inutilisables en raison d’autres dépendances, tandis que les micrologiciels de fin de support continueront probablement à fonctionner comme prévu., Même après l’identification des vulnérabilités, le fournisseur n’émettra pas d’avis de sécurité ou de correctif, mais des mesures d’atténuation physiques et logicielles sont parfois disponibles pour sécuriser les logiciels et les micrologiciels de fin de support. Pendant ce temps, à mesure que le matériel approche de la fin du support, les pièces de rechange ont une disponibilité limitée. Pour tous les composants, le support ou le dépannage n’est plus fourni à la fin du support.
ce que vous pouvez faire:
Les différences entre le matériel, les logiciels et les micrologiciels obligent les responsables électoraux à considérer la sécurité de manière globale. Les fonctionnaires doivent planifier les mises à jour et l’obsolescence., Avant que des mesures d’atténuation puissent être mises en place, les bureaux électoraux doivent procéder à un inventaire de tous les biens matériels et logiciels dont ils sont responsables, comme indiqué dans les contrôles 1 et 2 de L’ECI. Le SIC encourage les bureaux électoraux à demander à leur personnel informatique d’examiner et de vérifier régulièrement leur inventaire et de s’assurer que les logiciels et les micrologiciels sont mis à jour avec les derniers correctifs de sécurité et que le matériel fonctionne correctement., Le résumé mensuel de L’avis de cybersécurité de L’IE-ISAC met en évidence les correctifs de sécurité critiques pour les logiciels couramment utilisés tout au long du mois précédent et peut être utilisé comme liste de contrôle pour s’assurer que les systèmes sont correctifs.
lors de l’achat de nouvel équipement, les fonctionnaires électoraux devraient tenir compte de la nécessité d’évaluer la chaîne d’approvisionnement à la fois pour l’ensemble de l’équipement et pour chaque composante afin de s’assurer que les vulnérabilités et les modifications inattendues ne sont pas introduites., La meilleure pratique 23 du « Guide pour assurer la sécurité dans les achats de technologies électorales » de SIC fournit des conseils précieux pour répondre aux préoccupations de la chaîne d’approvisionnement. De plus, les fonctionnaires électoraux devraient examiner les « 13 éléments d’un programme efficace de GCR » du Centre national de contre-espionnage et de sécurité, qui fournissent des recommandations sur la vérifiabilité des processus, les exigences en matière de sécurité et l’atténuation des risques.
L’EI-Isac Cybersecurity Spotlight est une explication pratique d’un concept, d’un événement ou d’une pratique communs en matière de cybersécurité et de son application à la sécurité de l’Infrastructure électorale., Il vise à fournir aux membres de L’IE-ISAC une compréhension pratique des sujets techniques communs dans l’industrie de la cybersécurité. Si vous souhaitez demander un mandat ou une pratique spécifique qui pourrait intéresser la communauté électorale, veuillez communiquer avec [email protected].