L’organisme de normalisation européen Etsi (European Telecommunications Standards Institute) publie un guide sur la divulgation coordonnée des vulnérabilités logicielles connues et détectées. Objectif : aider les entreprises et les organisations de toutes tailles à mettre en œuvre un processus de divulgation de ces failles et à résoudre les problèmes qu’elles engendrent avant qu'elles ne soient connues publiquement.
Ce rapport technique, estampillé Etsi TR 103 838, contient des conseils sur la façon de réagir et de gérer la divulgation d’une vulnérabilité logicielle et décrit un processus de triage précis de ces dernières et la manière de les gérer vis-à-vis des produits ou des fournisseurs tiers. Le document expose également un exemple concret de politique de divulgation, ce qui est particulièrement important, selon l’Etsi, pour les PME ou les grandes entreprises qui n'ont pas encore l'expérience des programmes CVD (Common Vulnerabilities and Exposures, référence mondiale en matière de failles et vulnérabilités) ou de la gestion des vulnérabilités de sécurité signalées par les chercheurs en sécurité.
L’Etsi rappelle qu’au début de 2022, seulement 20% environ des entreprises des secteurs des TIC (Technologies de l'information et de la communication) et de l’Internet des objets (IoT) disposent d'un moyen identifiable pour informer un tiers d'un problème de sécurité potentiellement grave affectant leurs produits ou services. Certes de nombreuses entreprises proposent une page “contactez-nous” sur leur site Web ou sont présentes sur les réseaux sociaux sur lesquels elles exposent des problème de sécurité. Mais dans la plupart des cas, sans processus CVD formel et distinct, ces entreprises ne disposent pas d’un processus interne clair pour traiter ces problèmes correctement, en particulier lorsque des éléments de tierces parties sont inclus dans leurs produits.
« Alors que certaines grandes entreprises proposent d'excellents programmes CVD d'identification de vulnérabilité payants, une majorité d’entreprises TIC et IoT n'ont toujours aucune forme de programme CVD en place, précise Alex Leadbeater, président du comité technique Cyber de l'Etsi. Cela est particulièrement vrai pour les petites entreprises et pour les entreprises dont les produits ne sont pas soumis à des tests officiels de cybersécurité ou de sécurité liés à la réglementation. »
Comme l'exige la norme Etsi EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements (voir notre article), un programme CVD est une exigence clé pour garantir une cybersécurité solide et continue après la mise sur le marché d'un produit. Pour remédier à cela, une organisation doit mettre en place, selon l’Etsi, un processus identifié de divulgation des vulnérabilités. Cette approche les aide à répondre plus efficacement aux failles de sécurité rencontrées et surtout à recevoir les informations issue de tiers, sous forme confidentielle, afin que la vulnérabilité puisse être traitée rapidement.
Ces rapports de vulnérabilité fournissent aussi aux organisations des informations utilisables directement pour améliorer la sécurité de leurs systèmes, produits ou services qu’elles développent. Enfin, la mise en place d’un tel processus montre, selon l’Etsi, que l’entreprise ou l’organisation concernée non seulement prend la sécurité au sérieux mais aussi s'engage de manière constructive et transparente avec les “découvreurs” de failles de sécurité. Un engagement qui signifie qu’elles peuvent accueillir des informations qui autrement auraient été manquées ou nécessiteraient du temps et des efforts pour être découvertes.
D’ailleurs, souligne l’Etsi, en l’absence d’un tel processus, les chercheurs qui découvrent des vulnérabilités peuvent recourir à une divulgation publique des informations, diffusion qui peut porter atteinte à la réputation d’une entreprise.
Le rapport technique peut être téléchargé ici à partir du site de l’Etsi.