Archives par mot-clé : Secure by Design

Cybersécurité, Entreprise

CISA et FBI alertent sur les bonnes pratiques sécurité dans les logiciels

Laisser un commentaire

Le monde numérique repose sur une infrastructure vaste et complexe de logiciels qui régissent presque tous les aspects de la vie moderne. Cependant, cette dépendance croissante aux produits logiciels expose également les infrastructures critiques, les entreprises et les particuliers à des risques de sécurité potentiellement dévastateurs.

Le 26 octobre 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en collaboration avec le Federal Bureau of Investigation (FBI), a dévoilé une série de recommandations sur les pratiques de sécurité à éviter dans le développement des produits logiciels, appelées « mauvaises pratiques » (« Bad Practices »). Ces pratiques représentent des faiblesses importantes dans les produits finaux et compromettent leur sécurité et leur fiabilité.

Dans un contexte où la cybersécurité est un impératif pour le bon fonctionnement des infrastructures critiques, la CISA et le FBI invitent le public, les professionnels de la cybersécurité, et les fabricants de logiciels à contribuer en partageant leurs commentaires et suggestions sur ce document de bonnes pratiques. Cette initiative, intitulée « Secure by Design », vise à encourager une approche proactive où la sécurité est intégrée dans les produits dès leur conception.

Les « Mauvaises Pratiques » Identifiées

Les directives mises en avant par la CISA et le FBI identifient des pratiques courantes dans le développement de produits, qui sont souvent négligées en matière de sécurité et exposent les systèmes à des vulnérabilités graves. L’une des principales préoccupations est la manière dont les développeurs abordent la sécurité au cours du cycle de vie des produits, en particulier les choix de conception, les configurations par défaut et les failles de sécurité non corrigées.

Les pratiques jugées comme les plus risquées incluent :

Absence de sécurisation par défaut : Dans de nombreux cas, les produits logiciels sont expédiés sans configuration de sécurité active par défaut, laissant ainsi aux utilisateurs la responsabilité de mettre en place eux-mêmes des paramètres de sécurité adéquats.
Stockage et Transmission des Données Non Sécurisées : L’utilisation de méthodes non sécurisées pour le stockage ou la transmission de données sensibles, telles que des mots de passe ou des informations d’identification personnelle, ouvre la porte aux cyberattaques.
Absence de Mises à Jour Automatiques ou de Patches Réguliers : Les produits qui ne disposent pas de mécanismes automatiques pour les mises à jour de sécurité sont particulièrement vulnérables, car les utilisateurs ne sont souvent pas informés des mises à jour critiques, augmentant ainsi les risques d’attaques réussies.
Les Dangers pour les Infrastructures Critiques
Ces pratiques concernent en premier lieu les infrastructures critiques, un ensemble de systèmes essentiels pour le bon fonctionnement d’une société, comme l’approvisionnement en énergie, les télécommunications et les soins de santé. Les cyberattaques ciblant ces infrastructures peuvent entraîner des conséquences potentiellement désastreuses, y compris des pannes de courant, des interruptions de services de communication, et des atteintes à la sécurité des patients dans les hôpitaux. La CISA et le FBI soulignent que les produits logiciels destinés à ces infrastructures devraient bénéficier d’une attention de sécurité renforcée.

Ces mauvaises pratiques représentent également un risque pour les petites et moyennes entreprises (PME) qui, souvent, n’ont pas les ressources pour se protéger efficacement des menaces de cybersécurité. En utilisant des produits vulnérables, les PME exposent non seulement leur propre système, mais peuvent également servir de point d’entrée pour des attaques de plus grande ampleur visant des entreprises partenaires ou des réseaux plus larges.

« Secure by Design » : Intégrer la Sécurité dès la Conception

La campagne « Secure by Design » de la CISA et du FBI met l’accent sur une approche proactive de la sécurité dans la conception des produits. Cette approche incite les développeurs à prévoir des mesures de sécurité dès le début du processus de création d’un produit. L’idée est de ne pas considérer la sécurité comme une simple mise à jour ou un patch appliqué en fin de cycle, mais comme un élément fondamental intégré dans chaque phase de développement. Les recommandations encouragent les entreprises technologiques et les développeurs à adopter des pratiques comme :

Des Paramètres de Sécurité par Défaut : Assurer que les produits sont configurés de manière sécurisée dès l’installation, pour éviter que les utilisateurs finaux n’aient à modifier manuellement ces paramètres.
Des Protocoles de Chiffrement Solides : Utiliser des méthodes de chiffrement de pointe pour le stockage et la transmission des données sensibles, réduisant ainsi le risque de compromission.
Des Mises à Jour Automatisées et Simples d’Accès : Faciliter la gestion des mises à jour de sécurité en intégrant des processus automatisés qui alertent les utilisateurs en temps réel des correctifs nécessaires.
En agissant ainsi, la CISA et le FBI espèrent que les produits sécurisés dès la conception deviendront une norme, non seulement pour les infrastructures critiques, mais aussi pour tous les secteurs qui reposent sur des technologies numériques avancées.

Commentaires Publics et Implication de l’Industrie

L’une des étapes clés de cette initiative est l’appel aux commentaires publics, ouvert jusqu’au 16 décembre 2024. Cet appel invite les fabricants de logiciels, les experts en cybersécurité, ainsi que toute partie prenante du domaine à examiner les directives publiées et à contribuer par des suggestions. L’objectif est de créer une base de pratiques sécurisées partagées et appliquées par l’ensemble de l’industrie.

Cet effort collaboratif vise à renforcer la sécurité à tous les niveaux, de la petite entreprise à la grande infrastructure critique, pour développer une cyber-résilience commune. L’implication de l’industrie dans ce processus est essentielle pour s’assurer que ces pratiques de sécurité soient non seulement adoptées, mais aussi constamment améliorées et adaptées aux menaces émergentes.

La Responsabilité Partagée pour un Futur Plus Sûr

En somme, la publication de ces mauvaises pratiques par la CISA et le FBI représente une étape significative vers un renforcement de la cybersécurité globale. En encourageant des pratiques sécurisées dès la conception des produits, cette initiative vise à réduire les risques auxquels les infrastructures et les utilisateurs sont confrontés. Les commentaires publics permettront d’enrichir et de peaufiner ces recommandations, et d’établir un consensus sur les meilleures pratiques en matière de développement de logiciels.

Pour les entreprises, développeurs, et utilisateurs finaux, cette démarche de la CISA et du FBI rappelle que la sécurité numérique est une responsabilité partagée. Le respect de ces directives contribuera à la construction d’un écosystème numérique plus sûr et plus résilient, dans lequel chaque acteur joue un rôle crucial pour se prémunir contre les cybermenaces.