Bouclier Fortinet

Écrit par Carl Windsor, RSSI chez Fortinet

Les produits de cybersécurité doivent intégrer une sécurité robuste à toutes les étapes du cycle de vie du produit et un fournisseur de cybersécurité doit proposer une innovation et une amélioration continues tout au long du cycle de vie du produit. Quelle que soit la prudence des développeurs, tous les codes de logiciels et d’applications contiennent invariablement des erreurs – certaines bénignes, mais d’autres conduisant à des vulnérabilités.

La grande question est de savoir quoi faire lorsqu’une erreur est découverte.

Les réponses des fournisseurs varient considérablement, allant de la divulgation ouverte à la correction silencieuse sans reconnaître leur existence. Une telle réponse incohérente rend les utilisateurs vulnérables sans le savoir et/ou se démènent pour mettre en œuvre des correctifs dans un court délai.

Publicité

Bien qu’il existe des pratiques exemplaires au niveau international et dans l’industrie pour créer des processus de divulgation responsable qui s’alignent sur ces efforts, ces approches sont le plus souvent volontaires plutôt qu’obligatoires. Veiller à ce que les organisations adoptent des processus de divulgation responsable est crucial pour une posture de cybersécurité solide et pour protéger les utilisateurs contre les vulnérabilités potentielles.

Les organisations doivent insister pour travailler avec des fournisseurs engagés dans des pratiques de développement et de divulgation responsables qui suivent des règles éthiques standardisées et les meilleures pratiques pour améliorer la cyber-résilience. La mise en œuvre de correctifs, correctifs et mises à jour critiques et opportuns est essentielle pour protéger votre organisation contre les menaces émergentes cherchant à exploiter de nouvelles vulnérabilités.

Ainsi, lors de l’évaluation des fournisseurs potentiels, il est essentiel de poser les trois questions suivantes.

1. Votre fournisseur effectue-t-il des tests approfondis sur ses produits ? Comment est-il fait?

Les tests nécessitent des ressources importantes : du temps, une main-d’œuvre qualifiée et un investissement financier. Certains fournisseurs précipitent la commercialisation de leurs produits, ne s'attaquant aux vulnérabilités qu'au moment où elles sont détectées, souvent par des clients ou des chercheurs tiers.

Les fournisseurs peuvent ne pas disposer des ressources financières, structurelles ou humaines nécessaires pour exécuter des tests robustes. Rencontrer un fournisseur qui divulgue peu ou pas de vulnérabilités peut découler de ces limitations.

Dans le même temps, il est essentiel de garder à l’esprit que le nombre de vulnérabilités d’un fournisseur a également tendance à être corrélé à l’ampleur de ses opérations et à sa gamme de produits. Un nombre élevé de vulnérabilités n’indique pas automatiquement des mesures de sécurité ou une qualité de produit inférieures. Le facteur critique réside dans les processus mis en œuvre pour assurer la sécurité du produit tout au long du cycle de développement jusqu'à sa fin de vie.

Un fournisseur de cybersécurité digne de confiance doit intégrer des tests internes et externes rigoureux dans chaque phase de développement de produits. La détection rapide des vulnérabilités, avant qu’une entité malveillante puisse l’exploiter, est primordiale.

Cela inclut des éléments tels qu'une révision et un audit rigoureux du code, des tests de sécurité des applications statiques et dynamiques (SAST et DAST), des tests d'intrusion, du fuzzing et des efforts similaires pour détecter les vulnérabilités exploitables.

2. Quel est l'équilibre de votre fournisseur entre les vulnérabilités découvertes en interne et en externe ?

Idéalement, l'approche proactive de développement et de test d'un fournisseur se traduira par un taux de découverte principalement interne. Cela signifie non seulement un effort proactif pour protéger les clients, mais démontre également l'engagement d'un fournisseur en faveur de tests et de divulgation rigoureux.

Selon un analyse récente de l'industrie, l'échantillon moyen de code logiciel contient 6 000 défauts par million de lignes de code. Et les recherches menées à l'Institut de génie logiciel de l'Université Carnegie Mellon indiquent qu'environ cinq pour cent de ces défauts peuvent être exploités. Cela se traduit par environ trois vulnérabilités exploitables pour 10 000 lignes de code.

En conséquence, les entreprises disposant d’un portefeuille de produits étendu peuvent divulguer davantage de vulnérabilités simplement en raison de la taille de leur base de code. C’est pourquoi il est essentiel de se rappeler que les chiffres ne suffisent pas à dresser un tableau complet.

Un plus grand nombre de vulnérabilités n’implique pas nécessairement une sécurité inférieure. Au lieu de cela, ils reflètent l’ensemble plus vaste des produits soumis à l’analyse.

Une approche proactive du développement et de la divulgation responsables identifie non seulement les risques de manière proactive, mais facilite également le développement et le déploiement rapides de correctifs, empêchant ainsi leur exploitation potentielle.

3. Comment votre fournisseur gère-t-il les vulnérabilités signalées ?

En plus de l’auto-découverte, les chercheurs en menaces, les groupes industriels et autres recherchent activement la découverte des vulnérabilités. Ceci est essentiel pour garantir que les vulnérabilités sont détectées et corrigées avant que les acteurs malveillants ne puissent les exploiter.

De nombreux fournisseurs travaillent ouvertement avec des groupes externes pour encourager une divulgation responsable qui permet de préparer des correctifs et des correctifs avant que les vulnérabilités ne soient signalées publiquement.

Les fournisseurs doivent s’engager dans une discussion ouverte sur les pratiques de divulgation responsable. La façon dont ils travaillent avec des chercheurs externes souligne leur engagement envers la sécurité de leurs clients et du cyber-paysage au sens large.

Vous devez comprendre l'engagement de votre fournisseur en matière de découverte et de divulgation des vulnérabilités. Commencez par référencer des sources crédibles, telles que la Cybersecurity and Infrastructure Security Agency (CISA). Sécurisé dès la conception principes ou les principes de la Cyber ​​Threat Alliance (CTA) Politique de divulgation des vulnérabilités.

Selon la politique de divulgation des vulnérabilités du CTA, « l'identification, le signalement et la résolution des vulnérabilités matérielles et logicielles sont un élément essentiel du programme de cybersécurité de toute organisation ».

La divulgation responsable garantit que les parties prenantes, telles que les consommateurs, sont rapidement informées des vulnérabilités découvertes, permettant ainsi une action préventive. La plupart des fournisseurs réputés maintiennent des politiques de divulgation responsable documentées. Vous devriez demander à les voir.

En règle générale, le processus commence lorsque les chercheurs signalent aux développeurs les vulnérabilités découvertes via un processus établi, ce qui laisse du temps pour la correction du fournisseur et, dans certains cas, l'atténuation du client, avant la divulgation publique.

Même si ces processus ont fait l’objet d’un débat considérable au sein de la communauté de la cybersécurité, certains fournisseurs étant réticents à divulguer les vulnérabilités, le consensus du secteur penche désormais vers des principes de divulgation responsable qui profitent aux utilisateurs de la cybersécurité.

Des pratiques de développement et de divulgation responsables vous protègent

La divulgation proactive et transparente donne aux consommateurs les informations dont ils ont besoin pour protéger efficacement leurs actifs.

Une fois que vous avez compris les principes de base du développement et de la divulgation responsables, recherchez des fournisseurs qui collaborent avec des clients, des chercheurs indépendants, des organismes industriels et des pairs pour renforcer les mesures de sécurité.

Par exemple, la CISA a récemment introduit un Engagement de sécurité dès la conception signé par plus de 60 fournisseurs, dont Fortinet, qui intègre des éléments de son principe de « transparence radicale », notamment « dans un esprit de transparence radicale, le fabricant est encouragé à documenter publiquement son approche afin que d'autres puissent en tirer des leçons ». Votre fournisseur a-t-il pris cet engagement ? Renseignez-vous sur leurs ratios de vulnérabilité interne et externe découverte.

La majorité des vulnérabilités signalées devraient être découvertes par vous-même. Les problèmes résolus, qu’ils soient découverts en interne ou en externe, doivent être divulgués de manière transparente et traités de manière responsable.

Lorsqu’il s’agit de cybersécurité et de protection de vos actifs numériques critiques, la lumière du soleil est le meilleur désinfectant.

Sponsorisé et écrit par Fortinet.

5/5 - (432 votes)
Publicité
Article précédentEminem fait une autre apparition dans Fortnite, faisant référence à son dernier clip
Article suivantAprès 1 070 morts, près de 100 heures et une séance de thérapie, le streamer Kai Cenat bat enfin Elden Ring : Shadow of the Erdtree
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici