TrustInSoft s’aligne sur l'initiative de cybersécurité de l’agence américaine CISA par rapport aux langages C et C++La société française TrustInSoft, fournisseurs d'outils d'analyse de logiciels, indique qu’elle soutient l’initiative de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA, Cybersecurity and Infrastructure Security Agency) (*) qui s’inspire d’un document récemment publié par le Département américain de la sécurité intérieure sur les mauvaises pratiques de sécurité des produits (dossier CISA-2024-0028). Et ce, en particulier, dans les domaines relatifs aux langages non sécurisés en mémoire comme le C et le C++. Par rapport à cette recommandation, le CISA a proposé des commentaires dont le but est d’éclairer les développeurs vis-à-vis de la gestion de la cybersécurité, notamment pour du code écrit en C et/ou C++. Dans ce cadre, TrusInSoft indique que les analyseurs statiques de nouvelle génération, fiables et exhaustifs tels que l’outil Tisa de la société (TrustInSoft Analyzer) soutiennent les efforts de sécurité logicielle de la CISA en offrant des solutions qui prouvent mathématiquement l'absence de vulnérabilités liées à la mémoire dans les logiciels écrits en C et C++. Ces outils sont capables de mettre à l'échelle de grandes bases de code et offrent une détection des comportements indéfinis, y compris les vulnérabilités de sécurité de la mémoire. Selon TrusInSoft, ces analyseurs ont atteint un niveau de maturité qui leur permet désormais d'être intégrés à différentes étapes du cycle de vie du développement logiciel et qui sont devenu une aide précieuse pour un grand nombre d'organisations qui s'appuient sur les langages C et C++. En d’autres termes, le logiciel Tisa fournit des garanties mathématiques de sécurité logicielle qui vont au-delà de la détection heuristique délivrée par les analyseurs statiques ou dynamiques traditionnels. Reconnu par le NIST (National Institute of Standards and Technology) aux États-Unis pour son utilisation de méthodes formelles, notamment l'interprétation abstraite, la technologie de TrustInSoft peut donc garantir mathématiquement, selon elle, que les logiciels analysés sont exempts d'erreurs d'exécution et de vulnérabilités critiques. « Bien que les vulnérabilités liées à la mémoire demeurent effectivement un problème de sécurité majeur, nous tenons à souligner la pertinence continue des langages C et C++, indique à ce sujet Benjamin Monate, directeur technique de TrustInSoft. Les langages C et C++ disposent aujourd’hui d'un vaste référentiel de bibliothèques bien établies qui sont largement utilisées dans beaucoup de secteurs. Et de nombreuses organisations s'appuient sur ces bibliothèques pour fournir des fonctionnalités robustes. Dans ce cadre la transition vers un nouveau langage de programmation exigerait des coûts et des efforts importants, en particulier pour les secteurs réglementés nécessitant des certifications et une conformité spécifique. » Dans ce contexte, TrusInSoft indique que si les langages sécurisés en mémoire comme Rust offrent des alternatives prometteuses, leurs chaînes d'outils ne prennent pas encore entièrement en charge l'ensemble des microcontrôleurs utilisés dans les secteurs critiques. Pour la société, les langages C et C++ demeurent donc une option viables, compte tenu des chaînes d'outils disponibles, compatibles avec un nombre suffisant de diverses plates-formes matérielles. Face à cette situation, TrusInSoft suggère que la CISA clarifie la définition de la portée du terme “produit” (product) telle que définie par l’Union européenne dans son dcument CRA (Cyber Resilience Act), ce qui aiderait les industriels à garantir le respect des directives de la CISA. Compte tenu de ces considérations, TrusInSoft recommande des ajouts à la CISA qui pourraient être inclus dans son document final. (*) La CISA, créée en 2018, est agence fédérale américaines de cybersécurité et de sécurité des infrastructures sous la supervision du département de la Sécurité intérieure des États-Unis. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement, de coordonner les programmes de cybersécurité avec les États et d'améliorer la protection du gouvernement contre les pirates informatiques agissant à titre privé ou pour le compte d'un pays. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC |