Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont signé un accord soutenu par le gouvernement américain. Engagement Secure by Design. Mais cet engagement marquera-t-il une rupture avec le passé et le cycle apparemment sans fin des cyberattaques ? Les experts indépendants, tout en louant l’initiative, restent incertains quant à son impact probable.

De quoi ça parle?

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) tente d'inciter les éditeurs de logiciels à adhérer à cet engagement dans le cadre d'une stratégie plus large visant à améliorer la résilience nationale en matière de cybersécurité. Il est volontaire et non juridiquement contraignant, mais vise à inciter les éditeurs de logiciels à faire de la sécurité un élément fondamental du cycle de vie de leur développement de produits.

Les objectifs de l’engagement se répartissent en sept catégories :

⦁ Augmenter l'utilisation de l'authentification multifacteur dans tous les produits

⦁ Réduire la prévalence des mots de passe par défaut dans tous les produits

⦁ Démontrer une réduction significative et mesurable de la prévalence d'une ou plusieurs classes de vulnérabilité dans l'ensemble des produits

⦁ Augmenter l'installation de correctifs de sécurité par les clients

⦁ Publier une politique de divulgation des vulnérabilités qui autorise les tests publics

⦁ Faire preuve de transparence dans les rapports sur les vulnérabilités en incluant des données précises de Common Weakness Enumeration (CWE) et de Common Platform Enumeration (CPE) dans les rapports de vulnérabilité. Publier des enregistrements de vulnérabilités et d'expositions communes (CVE) pour les produits en temps opportun

⦁ Augmenter la capacité des clients à rassembler des preuves d'intrusions de cybersécurité affectant les technologies d'un fabricant

Les développeurs de logiciels, les services cloud et les technologies SaaS entrent tous dans le champ d'application de cet engagement, mais les produits physiques tels que les appareils IoT et les biens de consommation ne le sont pas. Un groupe de 68 grandes entreprises technologiques – dont Amazon Web Services, Cisco, Google et Microsoft – ont signé cet engagement lors de son lancement début mai, et ce chiffre est depuis passé à plus de 140 fournisseurs.

CISA espère que les engagements publics d'un nombre croissant d'entreprises encourageront la transparence et permettront aux clients d'évaluer les progrès des fournisseurs en matière de sécurité. Les fabricants sont invités à documenter leurs progrès dans la réalisation de leurs objectifs dans l’année suivant la signature de l’engagement, en partie afin que l’industrie dans son ensemble puisse tirer les leçons de leur parcours de sécurité.

Sauvegarder l'engagement

Les fournisseurs promettent déjà régulièrement d'améliorer leur sécurité à la suite de cyberattaques ou de violations. Il est donc légitime de se demander quel impact un engagement volontaire est susceptible d'avoir.

"L'engagement lui-même, bien que vital pour sensibiliser et établir les références nécessaires en matière de pratiques de sécurité, n'impose ni n'incite les fournisseurs au-delà de leur responsabilité éthique à intégrer pleinement ces principes dans leurs processus de développement", a déclaré Patrick Tiquet, vice-président de la sécurité et de la conformité de Keeper Security. raconte ISMS.online.

"Cependant, si les clients de logiciels insistent pour que les développeurs prennent cet engagement et confirment qu'ils le respectent, cet engagement deviendra moins volontaire et se transformera en une attente fondamentale."

Taimur Ijlal, expert en technologie et responsable de la sécurité de l'information chez Netify, lance également une mise en garde.

"Les grandes entreprises comme Microsoft et Google doivent donner l'exemple et encourager les autres à suivre si elles veulent que la promesse entraîne des changements significatifs", a-t-il déclaré à ISMS.online. « Toutefois, sans les forces du marché ni les exigences légales, de nombreux fournisseurs de logiciels pourraient encore être réticents à participer, même avec leur soutien. »

Beaucoup dépend du niveau éthique des signataires, selon Ijlal, qui ajoute que même un engagement sans réserve en faveur des améliorations ne garantit pas le succès.

« Des vulnérabilités subsistent même dans les logiciels produits par des fournisseurs réputés », affirme-t-il. « Même si l’engagement encourage le progrès, il manque de mécanismes d’application pour garantir que les entreprises respectent pleinement leurs engagements. »

Maria Opre, experte en cybersécurité et analyste principale chez EarthWeb, affirme que les fournisseurs peuvent tirer des avantages économiques de l'amélioration de la sécurité de leurs produits.

« Pour les entreprises, les failles de sécurité peuvent avoir des impacts dévastateurs : amendes réglementaires, atteinte à la réputation, temps d'arrêt coûteux, pour n'en nommer que quelques-uns », explique-t-elle à ISMS.online. « Suivre des pratiques de codage sécurisées dès le départ réduit la dette technique et les correctifs coûteux après coup. C'est un investissement judicieux.

Chat et souris

Il existe également un risque que tout progrès réalisé grâce à cet engagement soit compromis par des changements dans les tactiques des acteurs menaçants.

John Allison, directeur des affaires du secteur public chez Checkmarx, affirme qu'il faut s'attendre à une évolution des menaces, l'objectif devrait donc être d'améliorer continuellement la sécurité et de faire payer les attaquants.

« Les adversaires évoluent constamment, mais l’objectif ici est de les forcer à s’adapter et à investir du temps et des efforts pour trouver les lacunes d’une architecture de sécurité fondamentalement solide », explique-t-il à ISMS.online. « Je m'attendrais à ce que les objectifs de sécurité dès la conception évoluent au fil du temps, à mesure que les menaces évoluent également. »

Ijlal de Netify soutient que Secure by Design doit devenir une « pratique continue » plutôt qu'une approche ponctuelle par case à cocher.

« Les développeurs doivent constamment évaluer les nouveaux risques et faire évoluer leurs pratiques en conséquence. La sécurité statique finira toujours par être contournée », ajoute-t-il. « Il est bon d'enseigner aux développeurs comment concevoir du code sécurisé, évaluer les risques et utiliser la modélisation des menaces. À mesure que nous rationalisons les procédures, nous devons également investir dans les ressources humaines.

Maj gauche

La promotion des pratiques DevSecOps, qui encouragent les développeurs de logiciels à « tourner à gauche » en s'engageant dès le départ dans des pratiques de codage sécurisées, s'aligne sur les objectifs de l'engagement Secure by Design de la CISA.

Il permet aux développeurs d'atténuer les risques avant qu'ils ne deviennent des vulnérabilités exploitables. Toutefois, pour y parvenir, il faut plus que de simples engagements ; cela nécessite une intégration complète des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel.

« Construire une architecture de sécurité bien pensée et efficace nécessite un ensemble de compétences très différentes de celles de la plupart des développeurs de logiciels », selon Allison de Checkmarx. « Dans la précipitation visant à commercialiser de nouveaux produits, la sécurité est souvent soit complètement ignorée, soit appliquée de manière minimale, juste assez pour passer une certification. »

Campagne de normalisation

Les certifications peuvent contribuer à promouvoir la sécurité dès la conception en élevant la barre quant aux contrôles qui doivent être mis en place et à la manière dont les auditeurs doivent évaluer l'entreprise pour la certification. Et les experts affirment que les normes de sécurité telles que la norme ISO 27001 pourraient également contribuer à promouvoir une culture de sécurité dès la conception. La norme ISO 27001, par exemple, fournit un cadre de gestion de la sécurité de l'information qui aide les organisations à gérer systématiquement les risques de sécurité.

« Les normes comme ISO 27001 jouent un rôle crucial dans la promotion d'une culture de sécurité dès la conception. En adhérant à de telles normes, les entreprises peuvent garantir que la sécurité n'est pas une réflexion secondaire mais un élément fondamental de leurs opérations », conclut Tiquet de Keeper Security.

"Cette standardisation peut favoriser l'adoption de pratiques de développement sécurisées et favoriser un environnement logiciel plus résilient."