Dix agences de sept pays ont uni leurs forces pour créer un guide à l'intention des développeurs de logiciels afin de garantir que leurs produits soient sécurisés à la fois dès la conception - by design - et par défaut. Intitulé « Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default » (« Rééquilibrer les risques en matière de cybersécurité : principes et approches de la sécurité dès la conception et par défaut »), ce guide arrive après la découverte récente de plusieurs vulnérabilités critiques dans les logiciels de divers fournisseurs. En avril, l'agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) a publié sept avis concernant des vulnérabilités dans des systèmes de contrôle industriel (Industrial Control System, ICS) et des SCADA (Supervisory control and data acquisition) de plusieurs fournisseurs, y compris des failles critiques. Quelques semaines auparavant, l'agence avait également publié des avis sur 49 vulnérabilités dans huit ICS provenant de fournisseurs comme Delta Electronics, Hitachi, Keysight, Rockwell, Siemens et VISAM.

Les agences ayant collaboré à la rédaction de ce guide sont : le Centre australien de cybersécurité (Australian Cyber Security Centre, ACSC) ; le Centre canadien de cybersécurité (Canadian Centre for Cyber Security, CCCS) ; l’Office fédéral allemand de la sécurité des technologies de l’information (Bundesamt für Sicherheit in der Informationstechnik, BSI) ; le Centre national de cybersécurité des Pays-Bas (Netherlands’ National Cyber Security Centre, NCSC-NL) ; le centre d'alerte et de réaction aux attaques informatiques de Nouvelle-Zélande (New Zealand’s Computer Emergency Response Team New Zealand, CERT NZ) et le Centre national pour la cybersécurité de Nouvelle-Zélande (National Cyber Security Centre, NCSC-NZ) ; le centre national pour la cybersécurité du Royaume-Uni (National Cyber Security Centre, NCSC-UK) ; la CISA (Cybersecurity and Infrastructure Security Agency), le Federal Bureau of Investigation (FBI) et l’Agence nationale de la sécurité (National Security Agency, NSA) des États-Unis.

Sécurité dès la conception ou sécurité par défaut

Dans ses lignes directrices, le document définit les produits sécurisés dès leur conception comme étant ceux pour lesquels la sécurité des clients est un objectif commercial essentiel, et non une simple caractéristique technique. Les produits sécurisés dès la conception sont conçus en fonction de cet objectif avant le début du développement. Les produits sécurisés par défaut sont ceux dont l'utilisation est sûre dès leur sortie de l'emballage, qui ne nécessitent que peu ou pas de changements de configuration et dont les fonctions de sécurité sont disponibles sans coût supplémentaire. Les agences estiment que ces approches permettent d'alléger le fardeau de la sécurité pour le client et de réduire le risque d'un incident de sécurité.

Le rôle du développeur mis en avant

Tous les fabricants de technologies devraient concevoir leurs produits de sorte que leurs clients n'aient pas à effectuer en permanence des contrôles, des mises à jour de routine et à limiter les dégâts sur leurs systèmes afin d'atténuer les cyber-intrusions. « Historiquement, les développeurs de technologies se sont contentés de corriger les vulnérabilités découvertes après que les clients aient déployé les produits, exigeant d'eux qu'ils appliquent ces correctifs à leurs propres frais. Ce n'est qu'en incorporant des pratiques de sécurité dès la conception que nous mettrons fin au cercle vicieux de création et d'application de correctifs », indique le document d'orientation.

Les agences exhortent les développeurs à réorganiser leurs programmes de conception et de développement afin de ne livrer aux clients que des produits sécurisés dès la conception et par défaut.  Le document invite notamment les développeurs de systèmes à adopter des langages de programmation qui évitent la diffusion de vulnérabilités plutôt que de se concentrer sur des caractéristiques de produits qui semblent attrayantes, mais qui augmentent le risque d'attaque. « Ce guide commun a pour but d'alimenter le débat sur les normes de sécurité et de faire en sorte que le fardeau du risque cyber ne soit plus supporté majoritairement par le consommateur », a déclaré Lindy Cameron, directrice générale du Centre national pour la cybersécurité du Royaume-Uni (NCSC-UK), dans un communiqué. « Nous appelons les fabricants de technologies à se familiariser avec les conseils de ce guide et à mettre en œuvre des pratiques de sécurité dès la conception et par défaut dans leurs produits afin de garantir la sécurité et la résilience des activités en ligne », a-t-elle ajouté.

Les éditeurs IT responsables de la sécurité de leurs produits

Une partie du guide comprend des recommandations à l'intention des RSSI et des acheteurs IT, ainsi que des conseils pour protéger leurs entreprises. Les agences recommandent aux sociétés de tenir leurs éditeurs responsables de la sécurité de leurs produits. En particulier, elles devraient donner la priorité à l'achat de produits sécurisés dès la conception ou par défaut, comme le décrivent les lignes directrices. Le document suggère aux services IT d’exiger dans leurs politiques une évaluation de la sécurité des logiciels des fabricants avant leur achat, et de donner à ces services les moyens de s'opposer à leur mise en œuvre si nécessaire. « Les services IT devraient être habilités à fixer des critères d'achat qui tiennent compte de l'importance des pratiques sécurité dès la conception et par défaut. Le guide va même plus loin en recommandant à la direction générale de soutenir les services IT quand ils appliquent ces critères. « Les décisions de l’entreprise d'accepter les risques associés à des produits technologiques spécifiques doivent être formellement documentées, approuvées par un cadre dirigeant, et régulièrement présentées au conseil d'administration », préconise le guide.

La posture de sécurité de l’entreprise doit être considérée comme critique, y compris le réseau de l'entreprise, la gestion de l'identité et de l'accès et les opérations de sécurité et de réponse. Selon le document, « les entreprises devraient renforcer l'importance de la sécurité des produits, à la fois de manière formelle sous la forme de contrats avec les fournisseurs et de manière informelle en établissant un partenariat à long terme avec le fournisseur qui garantit la sécurité des produits ». Le guide conseille également d’entretenir des relations avec leurs pairs afin d'être informé sur les meilleurs produits et services respectant le concept de sécurité dès la conception, mais aussi pour créer un front uni et fournir un feedback aux fournisseurs de technologie. Concernant la sécurité du cloud, les acheteurs de technologie doivent comprendre à la fois la responsabilité des fournisseurs et celle des entreprises. « Les produits IT non sécurisés peuvent présenter des risques pour les utilisateurs individuels et pour notre sécurité nationale », a déclaré Rob Joyce, directeur de la cybersécurité de la NSA, dans un communiqué. « Si les fabricants donnent systématiquement la priorité à la sécurité pendant la conception et le développement, nous pourrons réduire le nombre de cyber-intrusions malveillantes ». Les agences sollicitent par courriel les commentaires des parties intéressées sur les priorités, les investissements et les décisions nécessaires pour faire en sorte que demain, la technologie soit sûre, sécurisée et résiliente dès la conception et par défaut.