Rétablir la confiance dans la chaîne d’approvisionnement logicielle
La sortie de Project Amber intervient alors que de plus en plus d’organisations ont du mal à faire confiance à la sécurité des éditeurs de logiciels tiers. Actuellement, seulement 37 % des professionnels de l’informatique se sentent très confiants dans le sécurité de la chaîne d’approvisionnement.
Bien qu’il existe de nombreuses raisons à ce manque de confiance, une série d’attaques de la chaîne d’approvisionnement, à commencer par la violation de SolarWinds en 2020, a mis en évidence que les organisations peuvent être sérieusement exposées à des risques si des fournisseurs tiers ne parviennent pas à sécuriser leurs environnements contre acteurs de la menace.
L’informatique confidentielle est l’une des technologies clés susceptibles d’améliorer la sécurité de la chaîne d’approvisionnement. L’informatique confidentielle a le potentiel d’atténuer les risques de la chaîne d’approvisionnement en chiffrant les données en cours d’utilisation afin qu’elles ne soient pas accessibles à des tiers non autorisés qui traitent ou transmettent les données.
« Avec l’introduction du projet Amber à Intel Vision en mai 22, Intel fait passer l’informatique confidentielle à un niveau supérieur dans son engagement envers une approche de confiance zéro pour l’attestation et la vérification des actifs informatiques au niveau du réseau, de la périphérie et dans le cloud », a déclaré Greg Lavender, vice-président senior d’Intel, directeur de la technologie et directeur général du groupe des logiciels et des technologies avancées (SATG).
Intel associe essentiellement l’attestation de confiance zéro à l’informatique confidentielle pour aider les entreprises à vérifier la sécurité des services et logiciels cloud tiers.
Comment Leidos et Accenture utilisent Project Amber
À ce stade, Leidos dispose d’une nouvelle preuve de concept du projet Amber qui offre la possibilité de prendre en charge ses cliniques médicales mobiles QTC, où des camionnettes effectuent des examens médicaux sur le terrain et le traitement des informations de santé pour les anciens combattants américains dans les zones rurales.
Dans ce cas, la solution d’Intel fournit des protections de sécurité supplémentaires pour les appareils de l’Internet des objets (IoT) et de l’Internet des objets médicaux (MIoT) qui se trouvent au-delà de la périphérie du réseau.
Dans un autre domaine de la santé, Accenture intègre le projet Amber dans un cadre basé sur l’intelligence artificielle (IA) pour la protection des données. Dans le cadre de cette preuve de concept, les établissements de santé peuvent partager des données en toute sécurité pour créer un modèle d’IA central formé pour détecter et prévenir les maladies.
Les modèles d’IA devant être formés sur des données provenant de plusieurs hôpitaux, puis agrégées en un seul emplacement, Project Amber permet à Accenture d’exécuter des charges de travail d’apprentissage automatique (ML) sur plusieurs fournisseurs de services cloud dans un environnement d’exécution sécurisé et fiable (TEE ).
Cette TEE empêche l’exposition des informations sensibles à des tiers non autorisés et vérifie la fiabilité des actifs informatiques, y compris les TEE, les appareils, les politiques et les racines de confiance.
Un aperçu des approches informatiques confidentielles
Les services informatiques confidentiels prennent de l’ampleur en raison de leur capacité à empêcher les utilisateurs non autorisés de visualiser ou d’interagir avec le code sous-jacent au repos et en cours d’utilisation. Selon Everest Group, le marché de l’informatique confidentielle a le potentiel d’atteindre 54 milliards de dollars d’ici 2026, à mesure que les besoins des organisations en matière de confidentialité des données augmentent.
Bien sûr, Intel n’est pas le seul fournisseur à expérimenter l’informatique confidentielle.
Fortanix a aidé à lancer cette technologie et propose un gestionnaire informatique confidentiel qui peut exécuter applications dans les TEE, tout en offrant d’autres contrôles de sécurité tels que la vérification d’identité, le contrôle d’accès aux données et l’attestation de code. Fortanix a également annoncé avoir levé 90 millions de dollars en financement de série C plus tôt cette année.
D’autres fournisseurs comme Google Cloud expérimentent également l’informatique confidentielle pour chiffrez les données en cours d’utilisation pour les VM confidentielles et les nœuds GKE confidentiels afin de renforcer la sécurité d’un environnement cloud plus large. Plus tôt cette année, Google Cloud a dépassé les 6 milliards de dollars en revenu au cours du deuxième trimestre 2022.
Cependant, ce qui rend l’approche d’Intel unique, c’est que la plupart des TEE sont auto-certifiés par des fournisseurs de services cloud et des éditeurs de logiciels individuels. En effet, un fournisseur vérifie que sa propre infrastructure est sécurisée. Cela signifie que les entreprises doivent être sûres qu’un fournisseur vérifie avec précision la sécurité de leurs propres systèmes. Au lieu de cela, Intel agit en tant que tiers impartial qui peut témoigner que la charge de travail ou le TEE d’un autre fournisseur ou fournisseur de services cloud est sécurisé pour une organisation.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.
.
