Google s’est associé à plusieurs sociétés technologiques pour créer des mesures de sécurité de base pour les fournisseurs tiers, mais il existe un certain scepticisme quant à l’efficacité de la liste de contrôle.
L’effort de collaboration, que Google a nommé Minimum Viable Secure Product (MVSP), est une « base de référence de sécurité neutre vis-à-vis des fournisseurs » conçue pour tester la posture de sécurité des éditeurs de logiciels et des fournisseurs tiers. Le document comprend des contrôles de sécurité qui traitent de l’autorisation, des rapports de vulnérabilité, des politiques de mot de passe, des protocoles de sauvegarde et des recommandations de correctifs. Salesforce, Okta et Slack ont aidé au développement de MVSP, entre autres fournisseurs.
Selon un article de blog la semaine dernière par Royal Hansen, vice-président de la sécurité chez Google, il est destiné à « augmenter la barre minimale de sécurité dans l’industrie tout en simplifiant le processus de vérification ».
La sécurisation des logiciels et des fournisseurs tiers présente de nombreux défis, comme en témoigne une légère augmentation des attaques de la chaîne d’approvisionnement, y compris l’énorme contre SolarWinds l’année dernière qui a utilisé une mise à jour logicielle empoisonnée. Une partie du décret de la Maison Blanche sur l’amélioration de la cybersécurité en mai impliquait « l’amélioration de la sécurité de la chaîne d’approvisionnement des logiciels ».
Avec le nombre croissant de violations connues pour être causées par des fournisseurs tiers, Melinda Marks, analyste principale chez Enterprise Strategy Group, a déclaré qu’il est important pour les organisations de s’assurer que les pratiques de sécurité de leurs fournisseurs répondent à un ensemble de normes pour prévenir de tels incidents.
De même, Shawn Tuma, associé du cabinet d’avocats Spencer Fane LLP, spécialisé dans la gestion des risques liés à la confidentialité des données et à la cybersécurité, a déclaré à SearchSecurity que le risque lié à la chaîne d’approvisionnement informatique est l’une des plus grandes menaces auxquelles de nombreuses entreprises sont confrontées. « Une fois le processus de sélection des fournisseurs terminé, il est souvent hors de leur contrôle, et c’est un problème », a déclaré Tuma dans un e-mail à SearchSecurity.
Google a déclaré que le MVSP était conçu pour « assurer une posture de sécurité raisonnable ». Il a également été conçu pour créer un précédent en matière de sécurité dans toutes les entreprises.
« Jusqu’à aujourd’hui, les organisations de toutes tailles ont dû concevoir et mettre en œuvre leurs propres bases de données de sécurité pour les fournisseurs qui s’alignent sur leur posture de risque. Malheureusement, cela crée une situation impossible pour les fournisseurs et les organisations car ils essaient de répondre à des milliers d’exigences différentes, » a écrit Hansen.
Selon Tuma, même les entreprises qui souhaitent faire face aux risques liés à la cyber-chaîne d’approvisionnement sont confrontées à une grande confusion. Cela inclut ce qu’il faut rechercher, ce qui, selon Tuma, en fait une tâche presque impossible à accomplir sans engager une énorme quantité de ressources. « Tout ce qui peut aider à clarifier et à standardiser ce processus sera utile », a déclaré Tuma.
La confusion peut également revenir à des organisations tierces. Marks a déclaré qu’au lieu que les fournisseurs tiers « se démènent pour répondre aux exigences de sécurité de chaque client », ces recommandations fournissent une base de référence solide pour ce que les fournisseurs devraient fournir.
La liste de contrôle suscite des inquiétudes
Bien que les experts et les fournisseurs d’infosec s’accordent à dire qu’il est positif d’avoir une base de recommandations de sécurité, il existe une multitude de facteurs et d’obstacles potentiels à prendre en compte. La capacité d’engager une quantité énorme de ressources est un problème, selon David Brumley, PDG du fournisseur de sécurité des applications ForAllSecure, et MVSP n’est pas réalisable pour toutes les tailles d’entreprise.
« Leur idée d’un » minimum « est de plusieurs employés à temps plein dédiés, tandis que la plupart des petites/moyennes organisations ont du mal à avoir ne serait-ce qu’une personne dédiée à la sécurité », a déclaré Brumley dans un e-mail à SearchSecurity. « Le plus souvent, on demande à l’informatique de doubler sa fonction de sécurité. »
Une préoccupation qu’il a citée concernait la partie gestion des incidents de la liste de contrôle, selon laquelle les entreprises doivent informer les clients d’une violation « au plus tard 72 heures après sa découverte ».
« Le MVSP suppose qu’il y a des employés dédiés pour une équipe de réponse aux incidents à temps plein. Il suppose que l’application sera un SaaS où l’authentification unique crée le site (qu’en est-il sur le site), utilise des bibliothèques de sécurité comme un outil de mappage objet-relationnel (mais ne parle pas des problèmes de performances potentiels qu’il faudrait résoudre) et que toute vulnérabilité « moyenne » peut être déployée en 30 jours. »
William Deller, consultant en gestion des risques de cybersécurité et de la conformité au cabinet comptable Schneider and Downs, estime que le MVSP est un bon développement, mais au départ, il peut en fait « exacerber le cirque du cadre de sécurité ».
« De nombreuses organisations sont déjà alignées sur un ou plusieurs frameworks et cela nécessitera de mapper leurs contrôles sur une nouvelle base de référence », a déclaré Deller. « Cependant, si de plus en plus d’entreprises technologiques adoptent le MVSP, cela créera plus de cohérence et de transparence dans leur industrie. »
Ce type de liste de contrôle n’est pas nouveau dans le cyber-assurance l’industrie non plus. Tuma a déclaré qu’il est similaire aux listes de contrôle informelles que de nombreux transporteurs recherchent maintenant pour les contrôles de sécurité qui doivent être en place pour que les entreprises puissent obtenir une couverture. « Ils ne seront pas tous les mêmes, ils ne seront pas tous complets, et différents experts donneront la priorité aux choses dans un ordre différent, mais c’est un bon point de départ et à la fin, cela devrait contribuer à améliorer la sécurité », a déclaré Tuma.
Le principal impact que le MSVP aura sur la cyberassurance, selon Deller, est directement lié à la capacité des organisations à adopter des cadres et à mettre en œuvre et exécuter des contrôles. « Le processus de souscription de la cyber-assurance continuera en grande partie d’être lié au nombre de titulaires d’assurance qui adoptent leur police en raison d’une violation », a-t-il déclaré. « Cependant, cela ne changera pas sans une diminution des violations. »
Deller a observé des exemples de développement de ces initiatives réussis lorsque les exigences minimales sont alignées sur les normes et les besoins d’une industrie spécifique, puis qu’une approche collaborative est développée pour les besoins d’assurance.
Tuma et Brumley ont convenu qu’il est difficile de créer un document qui conviendra à toutes les parties. Pour l’instant, Brumley a déclaré que le document « suppose que tout le monde peut être parfait tout de suite ou est doté de ressources de cette façon ». Bien qu’il n’ait aucun problème avec les recommandations, il pense qu’elles sont plus ciblées pour les besoins de Google.
« Ils devraient simplement appeler cela ce que c’est – ce que Google veut que vous fassiez comme un fournisseur pour Google – et arrêter d’essayer de se considérer comme une norme de l’industrie », a déclaré Brumley.
Selon Tuma, il y a un défi constant pour trouver l’équilibre entre rendre la liste de contrôle substantiellement « correcte » et la rendre pratique et utilisable.
« Dix experts différents auront dix opinions différentes, mais obtenir une bonne base de référence pour commencer est mieux que de n’avoir rien, et faire quelque chose – même si ce n’est pas tout à fait correct – sera mieux que de ne rien faire », a déclaré Tuma.
Enterprise Strategy Group est une division de TechTarget.
