Publier ses CVE en tant qu’éditeur de logiciel : un gage de transparence, un enjeu de confiance
Idées & initiatives
Quel est le réflexe d’une entreprise lorsqu’elle s’apprête à choisir une solution de cybersécurité ? Regarder la liste des certifications obtenues par l’éditeur pour ses solutions. Ces certifications garantissent effectivement un très haut niveau de sécurité informatique et de confiance, des évaluations rigoureuses et indépendantes étant réalisées régulièrement sur les logiciels, sous le contrôle de l’ANSSI. Au-delà des certifications, combien de clients pensent à regarder si l’éditeur publie ses vulnérabilités logicielles ? L’idée peut sembler – à première vue – contre-intuitive, mais regarder la politique de l’éditeur en matière de publication de ses CVE (Common Vulnerabilities and Exposures) est pourtant révélateur de sa stratégie. Certains éditeurs – dont PRIM’X – publient de manière active leurs vulnérabilités logicielles. Cette transparence témoigne d’une grande rigueur d’un point de vue de la sécurité informatique. Elle révèle également l’importance que l’éditeur accorde à la construction d’une relation de confiance avec ses clients.
La gestion des vulnérabilités logicielles, un pilier de la sécurité informatique
Un processus d’amélioration continue
La présence de vulnérabilités est inhérente à tout développement logiciel. Leur découverte et leur correction font d’ailleurs partie intégrante du cycle de vie d’un produit. La question n’est pas tant de savoir si un logiciel présente ou non des vulnérabilités, mais plutôt de déterminer la capacité de l’éditeur à les rechercher et à les corriger de manière proactive, avant leur exploitation à des fins malveillantes.
La découverte de vulnérabilités dans les produits logiciels permet aux éditeurs de travailler sur des mesures correctives et de renforcer la résilience de leurs solutions. Une sorte de boucle vertueuse qui profite à tous.
La publication des CVE, un système standardisé à l’échelle internationale
La gestion des vulnérabilités s’est d’ailleurs rationalisée et industrialisée ces dernières années. À l’échelle internationale, les failles de sécurité informatique sont publiées au sein de la base de données cve.mitre.org, maintenue par l’association à but non lucratif MITRE. Les éditeurs utilisent ce système officiel, standardisé et jouissant d’une grande notoriété, pour publier leurs vulnérabilités. Chacune d’entre elles est numérotée sous la forme CVE-AAAA-NNNNN (AAAA = année de publication de la vulnérabilité / NNNNN = identifiant unique de la vulnérabilité).
La publication des CVE, une obligation d’excellence liée aux certifications de sécurité
Une obligation et un enjeu de confiance vis-à-vis de l’ANSSI
La publication des failles de sécurité informatique s’inscrit dans la politique de certification de l’éditeur. Les produits certifiés font l’objet d’une analyse rigoureuse et complète par des organismes indépendants, des CESTI (Centres d’Évaluation de la Sécurité des Technologies de l’Information) eux-mêmes accrédités et certifiés par l’ANSSI. Ces organismes évaluent de manière complète la sécurité des produits. Les rapports sont ensuite fournis à l’ANSSI, l’agence étant chargée de les valider.
L’obtention de certifications impose aux éditeurs un certain nombre d’obligations vis-à-vis de l’ANSSI. PRIM’X, qui dispose de nombreuses certifications pour ses solutions de chiffrement, s’engage par exemple à prévenir l’ANSSI dès qu’une vulnérabilité est découverte sur son système d’information ou sur ses produits de sécurité. L’enjeu est à la fois de maintenir la qualité des produits et leurs certifications, mais aussi la confiance de l’ANSSI.
Comment PRIM’X gère la publication de ses vulnérabilités logicielles ?
Dans le cadre de sa stratégie d’excellence et de transparence, PRIM’X a mis en place un système de gestion des vulnérabilités, incluant une communication directe avec l’ANSSI et la notification des clients via la publication de bulletins de sécurité.
Le processus de découverte, gestion et correction d’une CVE par PRIM’X
- Découverte d’une vulnérabilité potentielle.
- Analyse de la vulnérabilité par les équipes PRIM’X, pour la confirmer et évaluer sa criticité.
- Problème jugé majeur ou critique => Information de l’ANSSI.
- Les équipes PRIM’X travaillent à la mise en place d’un contournement à proposer aux clients ou à la génération d’une nouvelle version du produit (patchs de sécurité, tests, etc.).
- Publication de la CVE sur cve.mitre.org avec les détails sommaires de la vulnérabilité (pour ne pas la rendre exploitable), sur les sites de recensement (centres nationaux de veille et d’alerte) ainsi que dans un bulletin de sécurité sur le site PRIM’X. Publication conjointe du contournement ou de la nouvelle version.
- Les clients PRIM’X font l’objet d’une communication renforcée, incluant davantage de détails sur la vulnérabilité et les patchs de sécurité, afin d’avoir une meilleure appréciation du risque et des solutions.
Publier ses CVE, une démarche de transparence et de confiance vis-à-vis de ses clients
Maintenir la confiance entre un éditeur et ses clients
Les exigences liées aux certifications sont de plus en plus poussées et obligent les éditeurs à aller toujours plus loin dans la recherche et l’analyse de vulnérabilités. Cette démarche se structure et se standardise, appelant les éditeurs à réagir efficacement, toujours dans l’intérêt de leurs clients.
Alors que le temps de gestion d’une CVE peut varier d’une semaine à plusieurs mois, les éditeurs ont tout intérêt à ne pas aller trop vite afin d’éviter le « sur-accident » qui pourrait mettre leurs clients en difficulté. L’équipe support de l’éditeur joue ici un rôle crucial pour répondre aux questions des clients et les aider à mettre en place le plus vite possible le contournement ou les patchs de sécurité. La question de la gestion des vulnérabilités logicielles est loin d’être purement technique. Elle est à la base d’une relation de confiance entre un éditeur et ses clients.
Afin de préserver la sécurité de ses clients et la confiance qu’ils lui accordent, PRIM’X s’est donné pour principe de ne jamais publier une vulnérabilité avant d’avoir une solution concrète à proposer pour la corriger.
Demain, tous transparents ?
En publiant de manière proactive et transparente ses vulnérabilités, PRIM’X entend contribuer à la démocratisation de cette pratique, reflet de la rigueur et du sérieux d’un éditeur. Cette démarche est en passe de devenir un standard, à tel point que le paradigme pourrait bientôt être renversé : un éditeur ne publiant aucune vulnérabilité pourrait être soupçonné de ne pas avoir assez bien cherché !
La recherche, l’analyse et la publication de vulnérabilités s’inscrivent dans l’objectif d’excellence de PRIM’X et sa démarche de certification continue de ses produits logiciels. Cette posture reflète la qualité et la sécurité de ses solutions, qui sont évaluées en permanence, dans un objectif d’amélioration constante. Au-delà des obligations imposées par les certifications, PRIM’X a placé cette exigence de transparence au cœur de son ADN.
La problématique de la gestion des CVE par les éditeurs de logiciels est d’ailleurs appelée à tenir une place de plus en plus importante dans les mois et années à venir. La directive NIS 2 renforce les exigences en matière de sécurisation de l’ensemble de la chaîne d’approvisionnement et de prise en compte des risques liés à la supply chain IT.
