Bernard Montel (Tenable) "Les PME vont devoir déclarer les vulnérabilités des produits numériques qu'elles fabriquent ou éditent"

Pascal Coillet-Matillon

Le directeur technique de Tenable pour la région Europe middle east & Africa précise les effets que va provoquer la création de l'european union vulnerability database sur les entreprises.

JDN. Quelles entreprises doivent publier des vulnérabilités dans l'european union vulnerability database et comment ?

Bernard Montel, directeur technique EMEA de Tenable. © Tenable

Bernard Montel. L'european union vulnerability database (EUVD) est une base de données qui rend publique les vulnérabilités et qui a été lancée le 13 mai dernier. Elle est directement prévue par le cyber resilience act (CRA) qui impose aux entreprises, quelle que soit leur taille, de déclarer les vulnérabilités des produits numériques qu'ils fabriquent et éditent. Elles doivent effectuer cette déclaration auprès de l'Agence de l'Union européenne pour la cybersécurité (Enisa). Une fois la déclaration de la vulnérabilité effectuée, celle-ci est analysée puis publiée dans l'EUVD par l'Enisa. L'EUVD permet aussi aux différents computer emergency response team (CSIRT) européens d'avoir enfin un référentiel commun. Ces CSIRT sont les organismes qui cherchent les menaces et les vulnérabilités. L'EUVD va mécaniquement favoriser leur coopération et leurs échanges d'informations. 

Quel est le but de l'EUVD  ?

L'idée du CRA et de la création de l'EUVD est que les entreprises qui éditent ou fabriquent des produits numériques fassent en sorte que ceux-ci aient le moins de vulnérabilités possibles. Cette réglementation exerce donc une réelle pression sur ces entreprises. Elle les force à chercher les vulnérabilités de leurs produits. Or, jusqu'à présent, peu de règles les contraignaient en ce sens. Aussi, la publication des vulnérabilités renforce cette pression. Mais de manière limitée.

D'abord, je ne pense pas que la création de l'EUVD va avoir pour effet que tous les pentesters vont vouloir repérer et publier toutes les vulnérabilités. Ensuite, quand ceux-ci repèrent des vulnérabilités de produits déjà mis sur le marché, ils ne doivent pas les rendre publiques immédiatement. Conformément à la pratique, ils doivent contacter l'éditeur ou le fabricant du produit numérique afin de l'informer de la vulnérabilité. Puis il doit lui laisser 90 jours pour patcher la vulnérabilité. C'est seulement s'il ne l'a toujours pas patchée après ce délai que le pentester peut publier la vulnérabilité. Donc il y a quand même des règles bien établies qui limitent la pression qu'exerce l'EUVD sur les fabricants et éditeurs.

Cette pression va-t-elle surtout concerner les PME ?

Oui, le CRA et l'EUVD vont compliquer les choses pour les PME européennes qui éditent ou fabriquent des produits numériques. Celles-ci vont devoir à la fois chercher et déclarer des vulnérabilités. Elles seront contraintes de mettre en œuvre des processus de gestion de vulnérabilités pour leurs produits. Or beaucoup d'entre elles viennent de très loin en termes de cybersécurité.

L'EUVD va-t-elle permettre aux entreprises de mieux détecter les vulnérabilités des produits qu'elles utilisent ?

La directive NIS 2 a pour effet que beaucoup de PME doivent se doter d'outils de détection et de gestion de vulnérabilités comme ceux que propose Tenable. Ceux-ci permettent de détecter les équipements vulnérables et les failles de sécurité dans un écosystème. Pour cela, ils utilisent les données publiées dans des bases comme l'EUVD. Nous voyons donc la création de l'EUVD d'un bon œil. En effet, plus il y a de publications de vulnérabilités et plus les outils de détection sont performants. Ils peuvent découvrir plus de vulnérabilités et le plus tôt possible. Concrètement, l'EUVD permet à ces outils de connaître des vulnérabilités qui peuvent venir de tous les éditeurs et fabricants de produits numériques européens, ce qui n'est pas rien.