Framework SSDF et solutions Adobe
Framework SSDF (Secure Software Development Framework)
Le décret présidentiel 14028 sur l’amélioration de la cybersécurité nationale impose aux agences gouvernementales américaines de renforcer les principales capacités des chaînes d’approvisionnement en matière de sécurité logicielle. En réponse à cette directive, le National Institute of Science and Technology (NIST) a publié le document Special Publication 800-218, intitulé Secure Software Development Framework, qui définit les pratiques fondamentales que tout éditeur de logiciels doit appliquer pour garantir la sécurité de la chaîne d’approvisionnement. Parallèlement, l’Office of Management and Budget (OMB) a émis le mémorandum M-22-18, Enhancing the Security of the Software Supply Chain through Secure Software Development Practices, qui oblige les agences fédérales américaines à n’acquérir et n’exploiter que des applications conformes aux exigences du framework SSDF, telles que spécifiées dans le NIST 800-218. Cette conformité doit être attestée via le formulaire d’auto-attestation SSDF élaboré par la Cybersecurity and Infrastructure Security Agency (CISA).
Conformité d’Adobe au framework SSDF
Conformément au décret présidentiel sur l’amélioration de la cybersécurité nationale, ainsi qu’aux mémorandums M-22-18 et M-23-16, Adobe, en tant qu’éditeur de logiciels non critiques, s’est associé à un organisme d’évaluation tiers (3PAO) pour évaluer ses pratiques de développement applicatif, l’objectif étant de vérifier leur conformité aux exigences énoncées dans le Secure Software Development Attestation Form et le Secure Software Development Framework (SSDF).
Les formulaires d’auto-attestation de sécurité logicielle d’Adobe sont disponibles sur le portail Repository for Software Attestations and Artifacts (RSAA), géré par la Cybersecurity and Infrastructure Security Agency (CISA) et accessible aux agences fédérales ainsi qu’aux éditeurs de logiciels.
Liste des applications conformes au framework SSDF
1. Adobe Acrobat et Reader (sur ordinateur et appareils mobiles), ainsi que les services cloud associés, y compris les fonctionnalités d’IA générative
2. Adobe Creative Cloud abonnement Entreprise (toutes les applications sur ordinateur et appareils mobiles), ainsi que les services cloud associés, y compris les fonctionnalités d’IA générative :
a. Adobe Photoshop
b. Adobe Premiere Pro
c. Adobe Illustrator
d. Adobe InDesign
e. Adobe After Effects
f. Adobe Animate
g. Adobe Audition
h. Adobe Bridge
i. Adobe Character Animator
j. Adobe InCopy
k. Adobe InDesign Server
l. Adobe {{lightroom-classic}}
m. Adobe Media Encoder
3. Adobe Experience Manager sur site et Managed Services, y compris les applications compagnons pour ordinateur
4. Adobe Connect sur site (sur ordinateur, serveur et appareils mobiles) et Managed Services
5. Adobe Acrobat Sign
6. Services Adobe Document Cloud
7. Adobe Learning Manager
8. Technical Communication Suites, y compris Adobe Captivate, Adobe RoboHelp et Adobe Framemaker (sur ordinateur et serveur)
9. Adobe ColdFusion
10. Adobe Analytics
11. Adobe Campaign
Pour toute question, vous pouvez envoyer un e-mail à l’adresse suivante : ssdagov@adobe.com.