Les erreurs et les vulnérabilités deviennent presque inévitables lors du développement de tout système, logiciel ou matériel informatique complexe. Elles sont souvent découvertes non pas par les employés et les experts techniques de l’entreprise qui produit le logiciel ou le matériel, mais par des chercheurs externes. L’élimination de ces erreurs et de ces vulnérabilités potentielles est primordiale pour une bonne cybersécurité, ce pour quoi nos chercheurs et nos experts travaillent également. Ainsi, la principale source d’erreurs et de défaillances – l’être humain – est également un facteur clé pour leur détection et leur correction en temps utile. Parallèlement, il est important de comprendre que ce processus de correction des erreurs peut potentiellement créer de nouveaux risques et de nouvelles défaillances au lieu de résoudre le problème.
Chez Kaspersky, nous adhérons à des principes éthiques clairs et transparents en matière de divulgation responsable des vulnérabilités (DRV) : le processus que nous suivons lorsque nous constatons des vulnérabilités dans les systèmes d’autres organisations. Nos cinq principes reposent sur plus de 23 ans de travail à l’échelle mondiale et nous continuons à nous inspirer de certaines bonnes pratiques et, en particulier, au code éthique du Forum of Incident Response and Security Teams (Forum des équipes de sécurité et de réaction aux incidents – FIRST). Dans tous les cas, nous accordons une priorité absolue à la sécurité de nos utilisateurs (les personnes et les organisations qui utilisent les produits et les solutions Kaspersky).
D’autre part, nous respectons les intérêts de toutes les parties concernées : les personnes ou organisations dont le produit est vulnérable, leurs clients (en tant que victimes éventuelles) et le secteur de la cybersécurité dans son ensemble.
Suivre ces principes assure que nous agissons de manière transparente, responsable et cohérente pour construire un écosystème de technologies de l’information et de la communication (TIC) plus sûr. Cependant, pour qu’une telle approche fonctionne dans l’ensemble du secteur informatique, les autres fournisseurs (ainsi que leurs utilisateurs, les chercheurs indépendants, les régulateurs et les autres parties intéressées) doivent également s’orienter selon des principes similaires. C’est pourquoi nous avons décidé de publier nos principes pour une divulgation responsable des vulnérabilités trouvées dans les logiciels d’autres entreprises. Nous sommes à l’avant-garde.
Principe #1 : Établir une relation de confiance
Un certain degré de méfiance est la base de la sécurité de l’information, mais la divulgation des vulnérabilités ne peut pas fonctionner sans confiance. Nous supposons donc que la bienveillance est la motivation de toutes les parties, bien que nous prenions bien sûr le temps et fassions l’effort de coordonner les actions et de réduire tout dommage causé par la vulnérabilité. Nous nous faisons confiance, mais nous vérifions ! Nous ne publions pas d’informations sur les vulnérabilités pour le plaisir ou par ambition, mais uniquement dans l’intérêt et la sécurité des utilisateurs et de la société.
Principe #2 : Informer d’abord la partie concernée
La divulgation des vulnérabilités est un processus complexe qui peut rencontrer de nombreux obstacles tels que l’absence de réponse ou même l’impossibilité de joindre les participants. Malgré ces problèmes, il est essentiel de fournir des informations précises et en temps utile aux fournisseurs concernés. Tout d’abord, nous coordonnons les efforts pour éliminer la vulnérabilité et minimiser le risque pour l’utilisateur. Pour cela, le fournisseur doit lui aussi fournir une façon claire et transparente de signaler et traiter les informations relatives aux vulnérabilités (plus d’informations sur la façon dont cela fonctionne chez Kaspersky ici et là).
Principe #3 : Coordonner les efforts
Chaque vulnérabilité est unique, c’est une évidence. Certaines menacent les utilisateurs d’un seul produit, et d’autres peuvent toucher plusieurs parties (par exemple, dans le cas d’entreprises internationales ayant des chaînes d’approvisionnement complexes). Les vulnérabilités peuvent également affecter les infrastructures critiques et les réseaux du secteur public, et donc menacer la sécurité nationale. De plus, les chercheurs et les fournisseurs ne sont pas les seules parties concernées ; les régulateurs, les clients, les chercheurs indépendants et les pirates informatiques peuvent également être impliqués. Pour une coordination efficace entre tous les acteurs, nous suivons les meilleures pratiques internationales (par exemple la norme ISO / CEI 29147:2018 pour la divulgation de vulnérabilités). Nous essayons de donner à tous les participants suffisamment de temps pour effectuer une analyse approfondie des vulnérabilités et développer des mesures correctives.
Principe #4 : Maintenir la confidentialité, quand cela est approprié
Si des informations techniques sur une vulnérabilité sont révélées trop tôt dans le processus, les cybercriminels peuvent en tirer profit. C’est pourquoi nous partageons les informations de manière confidentielle avec les parties qui doivent mettre en place des mesures de protection, et utilisons les canaux de communication les plus fiables et les plus sûrs pour travailler et partager les rapports. C’est pour cette même raison que nous négocions les conditions et les modalités de la divulgation avec le fournisseur. Toutefois, si un fournisseur ne répond pas, et selon la gravité et l’ampleur de la vulnérabilité et le caractère immédiat du risque, nous utilisons nos propres canaux de communication pour divulguer la vulnérabilité, conformément à nos politiques internes, aux réglementations locales et aux meilleures pratiques du secteur, tout en maintenant le fournisseur informé.
Principe #5 : Encourager le comportement souhaité
Malgré les efforts de l’industrie, les cybercriminels ne cessent de rechercher et de trouver des vulnérabilités. C’est pourquoi nous considérons qu’il est important de soutenir ouvertement tous ceux qui signalent les vulnérabilités de manière responsable et suivent les meilleures pratiques de l’industrie en matière de divulgation responsable.
Préserver la divulgation des vulnérabilités
Je suis convaincu que si toutes les parties adoptent des principes éthiques similaires, nous pourrons travailler ensemble pour rendre l’écosystème des TIC non seulement plus sûr, mais aussi plus sain et plus prévisible pour nos utilisateurs, qui sont les personnes pour lesquelles nous travaillons.
Vous pouvez en savoir plus sur les principes éthiques de DRV sur le site de notre Initiative Mondiale de Transparence de l’information.