SA-22 - Composants de systèmes non pris en charge (PaFF) (Obligatoire)
Énoncés :
a. Remplacer les composants des systèmes lorsqu’ils ne sont plus pris en charge par les développeuses, les développeurs, les fournisseurs ou les fabricants
b. Offrir les options suivantes pour les solutions de rechange visant à assurer la continuité du soutien des composants non pris en charge faisant l’objet d’un [Sélection (un choix ou plus) : soutien interne; {Affectation : soutien offert par des fournisseurs externes défini par l’organisation}]
b. à définir au cas par cas par l'organisme
aaQC. systèmes d'exploitation des serveurs, postes de travail, appareils mobiles, équipements de télécommunications
La prise en charge (ou le soutien) des composants de systèmes comprend les correctifs logiciels, les mises à jour de micrologiciels, les remplacements de pièces et les contrats de maintenance. Les exemples de composants non pris en charge comprennent les circonstances où les fournisseurs ne produisent plus de correctifs logiciels critiques ou de mises à jour pour les produits, ce qui peut mener à des possibilités pour les adversaires d’exploiter les faiblesses des composants installés. Les exceptions au remplacement des composants de systèmes non pris en charge comprennent les systèmes qui fournissent des capacités essentielles à la mission ou aux activités lorsque des technologies plus récentes ne sont pas disponibles ou lorsque les systèmes sont tellement isolés qu’il est impossible d’installer des composants de remplacement. Les autres sources de soutien permettent de répondre au besoin de fournir un soutien continu pour les composants de systèmes qui ne sont plus pris en charge par les fabricants d’origine, les développeuses, les développeurs ou les fournisseurs lorsque ces composants sont essentiels à la mission et aux activités de l’organisation. Au besoin, les organisations peuvent établir un soutien interne en développant des correctifs sur mesure pour les composants logiciels critiques ou avoir recours à des services de fournisseurs externes capables de fournir, au moyen de relations contractuelles, du soutien continu pour les composants non pris en charge qui ont été désignés. Ces relations contractuelles peuvent comprendre des fournisseurs de logiciels libres à valeur ajoutée. Le risque accru d’utilisation de composants de systèmes non pris en charge peut être atténué, par exemple, en empêchant la connexion de ces composants aux réseaux publics ou non contrôlés ou en mettant en oeuvre d’autres formes d’isolation.