Comment répondre aux nouveaux défis de la divulgation des failles de sécurité

Le GDPR (règlement européen sur la protection des données) va avoir de nombreux impacts sur les pratiques actuelles de divulgation des failles de sécurité. Voici quelques bonnes pratiques pour aider les entreprises à répondre à ce nouvel enjeu.

Au cours des dernières années, les incidents de vulnérabilité n’ont cessé de croitre et ont atteint un niveau inédit. Le Guide des bonnes pratiques sur la divulgation des failles de sécurité publié en décembre 2015 par l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA) montre une augmentation annuelle d’environ 53% entre 2013 et 2014. Les cybermenaces les plus sophistiquées qui sont apparues au cours de cette période se nomment Heartbleed, POODLE, Shellshock et Sandworm. Leurs conséquences ont été si redoutables que le débat autour  de la divulgation et des bonnes pratiques en matière de failles de sécurité a refait surface.

L’une des conséquences est que l’UE travaille pour renforcer les réglementations européennes sur la protection des données et aide les entreprises à réduire leur vulnérabilité face aux risques qui pèse sur la confidentialité des données. Cette démarche se reflète dans le nouveau cadre juridique de l’UE signé en décembre 2015, qui exige désormais que les entreprises répondent plus rapidement aux vulnérabilités et informent les autorités des failles de sécurité identifiées dans les 72 heures. Il exige également que les entreprises mettent en place un bureau national unique pour traiter les problématiques de protection des données. Le GDPR change beaucoup de choses pour les entreprises européennes en termes de transparence et de responsabilité. Les changements les plus notables sont l’augmentation des amendes pour non-conformité, les règles plus strictes concernant l’utilisation des données, et le droit pour un individu de demander l’effacement de ses données personnelles.

La divulgation des failles de sécurité majeures telles qu’Heartbleed est régie par les intérêts complexes et parfois conflictuels des éditeurs de logiciels, des fournisseurs de services de sécurité et des programmateurs indépendants, qui traquent les bugs d’un côté pour le grand public et de l’autre pour les médias. Il est donc particulièrement difficile de coordonner le processus dans son ensemble. Par exemple, la divulgation publique d’une nouvelle faille de sécurité peut mettre la personne qui en est à l’origine dans une situation légale délicate – la violation potentielle des lois civiles et criminelles, mais également des contrats, licences, brevets et autres types de règlementations doit être prise en considération.

De plus, les erreurs des développeurs dues à la pression du marché ou à des tests insuffisants peuvent être à l’origine de défauts dissimulés involontairement dans les logiciels, faisant des éditeurs et de leurs clients des proies potentielles pour les cyber-attaques. Toutes ces menaces vont continuer d’évoluer, et il devient donc capital que les parties prenantes travaillent ensemble pour répondre à ces enjeux et adopter des bonnes pratiques de divulgation des failles de sécurité, afin de réduire les dommages et renforcer la sécurité. Voici les mesures que nous recommandons en priorité :

  • Respecter les consignes qui ont déjà fait leurs preuves – il est inutile de réinventer la roue. Les documents officiels tels que ceux des agences de sécurité ou les standards ISO fournissent souvent un ensemble de recommandations pour gérer efficacement une divulgation et mettre en place une politique pérenne. Il est indispensable que les parties prenantes connaissent ces documents, particulièrement celles qui sont chargées de définir les processus de traitement des failles de sécurité. Parallèlement, la communauté dans son ensemble doit mettre la pression pour que le marché adhère à ces directives pour améliorer les pratiques de divulgation.
  • Mettre en place une communication efficace – ce qui nécessite trois sous-pratiques. Premièrement, les éditeurs doivent disposer d’un point de contact clair et disponible pour gérer les failles qui leur sont rapportées, afin que ceux qui les informent ne perdent pas de temps et d’énergie à trouver ce point de contact. Deuxièmement, les éditeurs doivent avoir mis en place une procédure de divulgation effective et s’assurer qu’elle contient les informations sur le point de contact initial, les informations que l’informateur doit fournir, les mécanismes de réponse à la faille identifiée et les étapes du processus. Enfin, une communication régulière avec les parties prenantes favorisera un processus de divulgation plus transparent et plus facilement gérable, et évitera les imprévus.
  • Diffuser l’information sur les failles de sécurité – il est crucial que les utilisateurs réguliers des produits et des services soient encouragés à diffuser l’information sur les failles. Les détails des failles et de leurs solutions, s’ils sont disponibles, doivent être partagés pour informer les utilisateurs de tout nouveau développement et leur donner les moyens de se protéger. La décision sur le niveau de publicité à donner à cette information doit être validée par toutes les parties prenantes et au cas par cas.
  • Traiter la faille de sécurité aussi rapidement que possible – le facteur temps est un aspect vital de la divulgation d’une faille. Sans cette pression, certains éditeurs peuvent être tentés d’ajourner la correction des bugs et de repousser le travail aux calendes grecques. Obliger les éditeurs à mettre en place une solution très rapidement les force à être plus efficaces, et évite qu’ils passent un temps infini à résoudre le problème. Pour réduire encore plus les risques associés aux divulgations de failles de sécurité non corrigées, les éditeurs et les informateurs doivent se mettre d’accord sur un temps de traitement raisonnable pour résoudre un problème particulier.
  • Les reportings et la divulgation doivent être plus flexibles – Il n’existe pas de règle unique en matière de divulgation des failles de sécurité. Il est donc essentiel d’être flexible sur la manière de rapporter un problème et de le traiter. La flexibilité doit se faire dans les deux sens pour garantir parvenir efficacement à ses fins. Par exemple, la flexibilité est un aspect essentiel pour corriger une infrastructure réseau critique, car sa complexité fera que l’éditeur aura besoin de plus de temps pour développer un patch.

En conclusion, le GDPR et ses nouvelles exigences en termes de protection, de transparence et de responsabilité vont changer profondément les choses pour les pratiques de gestion des failles de sécurité, qui se fondaient jusqu’à présent sur un mélange plus ou moins défini de bonne volonté, d’opportunisme et de programmes de traques des bugs visant à nous protéger. Mais pour répondre efficacement aux nouveaux challenges de divulgation des failles de sécurité, il est indispensable que toutes les parties prenantes travaillent ensemble pour informer le public des défauts identifiés, et ce le plus vite possible. Il est également nécessaire que le cadre légal soit le plus clair possible pour garantir que ceux qui informent à propos des failles de sécurité ne deviennent pas otages des intérêts des lois criminelles et civiles.