Une personne sage a dit un jour : « Plus vous invitez de personnes dans votre maison, plus elle est rangée ». Le même principe d’ouverture peut être appliqué aussi facilement au monde des affaires. Plus une organisation est transparente dans ses processus et sa culture, plus elle est susceptible d’être disciplinée dans son fonctionnement. La transparence est la base de la confiance entre les fournisseurs, les clients et les partenaires, et c’est d’autant plus le cas en matière de cybersécurité. Nous examinons ici les facteurs fondamentaux qui garantissent cette transparence et, par conséquent, la confiance.
L’impératif d’une approche transparente de la cybersécurité
Les risques et les conséquences potentielles des cyberattaques et des violations de données figurent à juste titre en tête des priorités de toute organisation. Les entreprises et les institutions publiques de tous les secteurs ne sont plus disposées à prendre pour argent comptant les affirmations des vendeurs concernant la sécurité de leurs produits et solutions. En effet, dans de nombreux pays et régions, la législation exige qu’ils aient une meilleure compréhension de la sécurité des produits et services utilisés au sein de leur organisation.
L’idée selon laquelle dissimuler les détails et le fonctionnement d’un système est le meilleur moyen d’améliorer sa sécurité, souvent appelée « sécurité par l’obscurité », a été largement discréditée. Le National Institute of Standards and Technology (NIST) des États-Unis déclare lui-même que « la sécurité du système ne doit pas dépendre du secret de la mise en œuvre ou de ses composants ».
La connaissance des pratiques de sécurité d’un fournisseur de technologie est un aspect essentiel de l’évaluation des risques qu’il présente. Cette évaluation permet d’examiner l’impact potentiel que les produits d’un fournisseur peuvent avoir sur le réseau et les systèmes connectés du client et de déterminer si le fournisseur a mis en place les mesures appropriées pour atténuer les risques.
Les clients exigent donc une visibilité totale sur tous les aspects de l’approche adoptée par un fournisseur pour assurer une sécurité optimale des produits et la maintenir tout au long de leur cycle de vie. Cette demande de transparence devrait être acceptée, car elle est fondamentale pour déterminer si les produits d’un fournisseur peuvent soutenir la posture de sécurité d’un client, et pour établir la confiance entre les fournisseurs, les partenaires et les clients.
Les multiples avantages de la transparence
Lorsqu’un fabricant de technologie est transparent sur ses pratiques de sécurité, il démontre fondamentalement son engagement à garantir la sécurité des produits. Il s’agit notamment de fournir les fonctions et les paramètres de sécurité qui permettent aux clients d’utiliser les produits de la manière la plus sécurisée possible pour protéger leurs propres systèmes et données.
La transparence permet également une collaboration et un partage d’informations plus efficaces avec les clients et les partenaires, ce qui leur permet de réagir rapidement à toute nouvelle vulnérabilité logicielle découverte.
De plus, la transparence aide les fabricants et les clients à tirer des leçons des incidents de sécurité passés et à améliorer leur posture de sécurité globale. Des décisions éclairées peuvent aider à prévenir les incidents futurs et à garantir la protection continue des données et des informations des clients.
Dépasser les exigences des certifications de cybersécurité
Dans ce contexte, les normes et certifications industrielles peuvent constituer une garantie utile de l’engagement d’une entreprise en matière de cybersécurité de base. Il est clair que lorsque ces certifications sont exigées par la loi, les fournisseurs doivent prouver qu’ils les respectent. Elles sont également précieuses pour établir une base de référence qui peut être contractuellement contraignante lorsque les entreprises s’engagent les unes avec les autres à fournir des services à leurs clients. Les clients peuvent également utiliser des preuves de certifications pendant le processus d’approvisionnement pour s’assurer que les fabricants couvrent les exigences minimales.
Cependant, il convient d’éviter d’utiliser les certifications comme « solution miracle » pour démontrer une approche globale de la cybersécurité. Les certifications témoignent d’une sécurité de base minimale à un moment précis qu’une entreprise respecte, qu’il s’agisse de sécurité de l’information d’entreprise (ISO 27001, diverses réglementations d’exportation en matière de cybersécurité, etc.) ou des certifications de sécurité axées sur les produits (FIPS 140, ETSI EN 303645 et diverses autres normes spécifiques au pays)
En outre, les normes et certifications peuvent souvent être larges par nature pour couvrir des industries spécifiques et leurs cas d’utilisation, et ne sont donc pas toujours pertinentes pour les cas d’utilisation spécialisés. Par exemple, la norme CEI 62443 se concentre spécifiquement sur l’automatisation industrielle et les systèmes de contrôle, qui sont moins pertinents pour la sécurité physique.
D’un point de vue commercial, les certifications et le respect des normes risquent d’être utilisés comme une case à cocher et une stratégie visant à obtenir un avantage concurrentiel au cours des procédures de passation de marchés, l’objectif étant d’obtenir le plus grand nombre de certifications possible pour donner l’impression d’avoir une « bonne » position en matière de cybersécurité. C’est particulièrement le cas lorsque les exigences standard et techniques sont « verrouillées » après l’achat et ne sont pas accessibles gratuitement au public.
Enfin, les avancées technologiques, les processus et les produits évoluent souvent beaucoup plus rapidement que le processus de standardisation, ce qui signifie que les fabricants qui s’appuient uniquement sur la certification seront à la traîne par rapport aux innovations technologiques. Par exemple, le chiffrement réseau MACsec IEEE 802.1AE dans les produits durcit considérablement la communication réseau, mais la technologie ou la meilleure pratique d’utilisation de MACsec pour sécuriser les réseaux n’est pas spécifiée dans les normes actuelles.
En bref, bien que les certifications et les normes aient une certaine valeur, elles doivent être considérées comme une référence et non comme une cible, et comme un complément aux activités plus larges d’un fournisseur en matière de cybersécurité.
Recherche de preuves de transparence
Lorsque l’on considère les fournisseurs, il existe des preuves claires qui démontrent un engagement en faveur de la transparence dans le développement de produits et de logiciels et tout au long du cycle de vie du produit en matière de cybersécurité. Parmi lesquels :
- Fournir aux clients des informations sur les activités et les mesures de sécurité entreprises tout au long du cycle de vie d’un produit, des phases de développement, de production et de distribution à la mise en œuvre, en service et hors service. Ces informations doivent également inclure la manière dont l’ensemble de la chaîne logistique du fournisseur est sécurisée.
- Publier les politiques et les pratiques de sécurité pour le développement des produits et l’approche du vendeur en matière de sécurité interne de l’entreprise. Disposer d’un ensemble de politiques et de procédures claires et accessibles au public pour protéger les données et les informations des utilisateurs démontre l’engagement de l’entreprise en matière de sécurité et de responsabilité.
- Effectuer régulièrement des évaluations et des audits de sécurité indépendants pour aider à identifier et à résoudre les failles de sécurité potentielles et fournir aux clients l’assurance que l’entreprise prend la sécurité au sérieux. Il peut s’agir d’évaluations au niveau organisationnel, comme les évaluations de la norme ISO/IEC 27001, ou au niveau d’un produit spécifique, comme les tests de pénétration réalisés par des tiers.
- Fournir des produits qui permettent à des personnes, des organisations et des autorités tierces d’évaluer facilement le niveau de sécurité des produits. Il s’agit notamment de ne pas crypter le logiciel de l’appareil ou d’autres activités visant à soutenir la « sécurité par l’obscurité ». Il est également essentiel de fournir une nomenclature logicielle (SBOM), qui répertorie les « ingrédients » qui composent chaque logiciel. La SBOM détaille tous les composants open source et tiers présents dans un logiciel, les licences qui régissent ces composants, les versions des composants utilisés dans le logiciel et l’état des correctifs nécessaires pour maintenir la sécurité.
- Transparence dans le signalement des incidents de sécurité lorsqu’ils se produisent, tant au niveau de l’organisation du fournisseur que de ses produits. Les fournisseurs doivent disposer d’une politique claire de gestion des vulnérabilités. Cela permettra de communiquer sur la nature de l’incident, la manière dont il a été découvert, les mesures prises pour remédier à la vulnérabilité (y compris les actions requises par les clients) et les mesures prises pour prévenir de futurs incidents.
- Et fournir aux clients et partenaires des informations régulièrement mises à jour sur l’état de sécurité de l’entreprise. Les informations sur les changements apportés aux politiques ou aux pratiques de sécurité les aident non seulement à rester informés, mais surtout, elles leur permettent de prendre rapidement des actions pour sécuriser leurs propres produits, services et processus. De plus, en permettant aux clients et aux partenaires de s’abonner à un service de notification de sécurité, ils ont la possibilité de répondre aux problèmes de sécurité de manière opportune.
- En encourageant activement les clients et les chercheurs à signaler les failles de sécurité potentielles qu’ils découvrent, l’entreprise pourra identifier et traiter les problèmes potentiels avant qu’ils ne soient exploités. La participation au programme CVE pour divulguer les identifiants CVE et de mettre en place un programme de récompense contre les bogues démontre la maturité et la transparence du fournisseur en matière de cybersécurité et la confiance qu’il accorde à ses processus de développement sécurisés.
- Les clients sont ainsi soutenus dans un processus proactif de gestion du cycle de vie des produits qui leur permet de planifier la mise hors service et le remplacement des produits. La date de fin de support pour le logiciel de l’appareil doit être précisée le plus tôt possible, idéalement immédiatement après le lancement du produit.
Chaque fournisseur doit s’engager à faire tout son possible pour fournir des produits qui répondent aux exigences d’un client en matière de cybersécurité. Les certifications et les normes n’ont qu’une portée limitée. La transparence est essentielle. Les pratiques et politiques publiées, les évaluations et audits de sécurité indépendants réguliers et les divulgations ouvertes concernant les incidents de sécurité sont des moyens plus fiables d’instaurer la confiance dans l’engagement d’un fournisseur à protéger les données et à fournir des produits avec une cybersécurité solide.