Confiance et transparence : pourquoi la vérification reste essentielle

De nos jours, la vie d’un responsable de la sécurité de l’information (aussi connu sous le nom de RSSI, pour Responsable de la sécurité des systèmes d’information) ne se résume pas à lutter contre les pirates informatiques. Il s’agit également d’une quête sans fin qui porte le nom de « conformité ». Les régulateurs continuent de serrer la vis, les normes poussent comme des champignons, et les maux de tête ne font qu’empirer. Mais ce n’est pas tout : les RSSI sont responsables non seulement de leur propre périmètre, mais également de ce qui se passe en dehors, c’est-à-dire de l’ensemble de leur chaîne d’approvisionnement, de tous leurs sous-traitants, et de la multitude de logiciels sur lesquels reposent leurs processus métier. Si ce raisonnement est fondé, malheureusement, il est aussi impitoyable : si une faille est détectée chez votre fournisseur, mais que le problème vous affecte, c’est finalement vous qui serez tenu pour responsable. Cette logique s’applique également aux logiciels de sécurité.

Auparavant, les entreprises s’intéressaient rarement au contenu réel des solutions et produits de sécurité qu’elles utilisaient. Aujourd’hui, cependant, les entreprises, et en particulier les plus grandes, veulent tout savoir : que se cache-t-il réellement derrière ces solutions ? Qui a écrit le code ? Vont-elles perturber certaines tâches essentielles, voire entraîner une panne généralisée ? (De tels précédents ont déjà été observés, par exemple avec l’incident lié à la mise à jour CrowdStrike 2024.) Où et comment les données sont-elles traitées ? Il s’agit là de questions pertinentes.

Le problème réside dans le fait que presque tous les clients font confiance à leurs fournisseurs pour répondre avec précision à ces questions, bien souvent parce qu’ils n’ont pas d’autre choix. Une approche plus réfléchie au regard de la cyberréalité actuelle consiste à vérifier.

Dans le jargon des entreprises, ce phénomène est appelé « confiance dans la chaîne d’approvisionnement », et tenter de résoudre cette énigme par vous-même est un véritable casse-tête. Vous avez besoin de l’aide des fournisseurs. Un fournisseur responsable est prêt à présenter ce qui se cache derrière ses solutions, à mettre le code source de celles-ci à la disposition de ses partenaires et clients afin qu’ils puissent l’examiner et, de manière générale, à gagner la confiance de ces derniers non pas grâce à de jolis diaporamas, mais grâce à des mesures concrètes et pratiques.

Alors, qui met déjà cela en pratique, et qui est encore bloqué dans le passé ? Une étude récente et approfondie menée par nos confrères européens répond à cette question. Elle a été conduite par le laboratoire de tests réputé AV-Comparatives, la Chambre de commerce du Tyrol (WKO), l’École d’entrepreneuriat MCI et le cabinet d’avocats Studio Legale Tremolada.

La principale conclusion de cette étude est que l’ère des « boîtes noires » dans le domaine de la cybersécurité est révolue. RIP. Amen. L’avenir appartient à ceux qui ne cachent pas leur code source et leurs rapports sur les vulnérabilités et qui offrent à leurs clients le maximum de choix lors de la configuration de leurs produits. Et le rapport montre clairement qui ne se contente pas de faire des promesses, mais tient réellement ses engagements. Devinez de qui il s’agit !…

Quelle bonne déduction ! Oui : il s’agit bien de nous !

Nous offrons à nos clients une chose qui reste malheureusement une espèce rare et en voie de disparation au sein de l’industrie : des centres de transparence, des examens du code source de nos produits, une nomenclature logicielle (SBOM) détaillée, et la possibilité de consulter l’historique des mises à jour et de contrôler les déploiements. Et bien sûr, nous fournissons également tout ce qui constitue déjà la norme de l’industrie. Vous pouvez en apprendre davantage en consultant le rapport complet « Transparency and Accountability in Cybersecurity » (TRACS) ou en lisant notre résumé. Ici, je passerai en revue quelques-uns des points les plus intéressants.

On ne mélange pas les torchons et les serviettes

Le rapport TRACS a évalué 14 fournisseurs populaires ainsi que leurs produits EPP/EDR, de Bitdefender à CrowdStrike en passant parnotre solution EDR Optimum et WithSecure. L’objectif était de comprendre quels fournisseurs ne se contentent pas de dire « faites-nous confiance », mais vous permettent réellement de vérifier leurs dires. L’étude portait sur 60 critères, de la conformité au RGPD (Règlement général sur la protection des données – puisqu’il s’agit d’une étude européenne) aux audits ISO 27001, en passant par la capacité à traiter toutes les données télémétriques localement et l’accès au code source d’un produit. Cependant, les auteurs ont décidé de ne pas attribuer de points pour chaque catégorie ni d’établir de classement général unique.

Pourquoi ? Parce que chaque entreprise est confrontée à des modèles de menace et des risques différents. Ce qui est une fonctionnalité pour l’une peut constituer un bug et un désastre pour l’autre. Prenons l’exemple de l’installation rapide et entièrement automatisée des mises à jour. Pour une petite entreprise ou une société de vente au détail comptant des milliers de petites succursales indépendantes, il s’agit d’une bénédiction, car il leur serait impossible de disposer d’un personnel informatique suffisant pour gérer toutes ces tâches manuellement. En revanche, dans une usine où le convoyeur est contrôlé par un ordinateur, cela serait totalement inacceptable. Une mise à jour défectueuse est susceptible de provoquer l’arrêt d’une chaîne de production, ce qui, sur le plan commercial, pourrait avoir des conséquences désastreuses (ou du moins, pires que la récente cyberattaque contre Jaguar Land Rover). Dans ce cas de figure, chaque mise à jour doit d’abord être testée. Il en va de même pour les données télémétriques. Une agence de relations publiques transmet les données de ses ordinateurs au cloud de son fournisseur afin de participer à la détection des cybermenaces et de bénéficier d’une protection instantanée. Parfait. Mais une entreprise qui traite les dossiers médicaux de patients ou des conceptions techniques hautement confidentielles sur ses ordinateurs ? Il conviendrait de réexaminer ses paramètres de télémétrie.

Dans l’idéal, chaque entreprise devrait attribuer une « pondération » à chaque critère et calculer son propre « indice de compatibilité » avec les fournisseurs EDR/EPP. Mais une chose est sûre : celle qui offre le plus de choix à ses clients gagne.

Prenons l’exemple de l’analyse de la réputation des fichiers suspects. Elle peut fonctionner de deux manières : via le cloud commun du fournisseur, ou via un microcloud privé au sein d’une même organisation. De plus, il est possible de désactiver complètement cette analyse et de travailler entièrement hors ligne. Très peu de fournisseurs proposent ces trois options à leurs clients. Par exemple, l’analyse de la réputation « sur site » n’est disponible que chez huit fournisseurs parmi ceux évalués. Il va sans dire que nous en faisons partie.

Mettre la barre plus haut

Dans chaque catégorie de l’évaluation, la situation est à peu près la même que pour le service de réputation. En parcourant attentivement les 45 pages du rapport, nous constatons que nous sommes soit en avance sur nos concurrents, soit parmi les leaders. De plus, nous pouvons affirmer avec fierté que, dans environ un tiers des catégories comparatives, nous offrons des fonctionnalités nettement supérieures à celles de la plupart de nos concurrents. Faites-vous une idée par vous-même :

Visiter un centre de transparence et examiner le code source ? Vérifier que les fichiers binaires du produit sont bien créés à partir de ce code source ? Seuls trois fournisseurs parmi ceux évalués offrent cette possibilité. Et pour l’un d’entre eux, elle est réservée aux clients gouvernementaux. Nos centres de transparence sont les plus nombreux et les mieux répartis géographiquement et offrent aux clients le plus large éventail d’options.

L’ouverture de notre premier centre de transparence en 2018

Télécharger et revérifier les mises à jour des bases de données ? Seuls six acteurs (dont nous) offrent cette possibilité.

Configurer le déploiement en plusieurs étapes des mises à jour ? Cette fonctionnalité n’est pas vraiment rare, mais elle n’est pas non plus très répandue : seuls sept fournisseurs autres que nous la prennent en charge.

Consulter les résultats d’un audit de sécurité externe de l’entreprise ? Seuls nous et six autres fournisseurs sommes prêts à communiquer ces informations avec nos clients.

Décomposer une chaîne d’approvisionnement en maillons distincts à l’aide d’une SBOM ? Cela est également rare : vous ne pouvez demander une SBOM qu’à trois fournisseurs seulement. L’un d’entre eux est l’entreprise aux couleurs vertes qui, justement, porte mon nom.

Bien sûr, il existe des catégories dans lesquelles tous les fournisseurs s’en sortent bien : tous ont obtenu la certification ISO/IEC 27001, se conforment au RGPD, adoptent des pratiques de développement sécurisées et acceptent les rapports sur les vulnérabilités.

Enfin, reste la question des indicateurs techniques. Tous les produits qui fonctionnent en ligne envoient certaines données techniques sur les ordinateurs protégés, ainsi que des informations sur les fichiers infectés. Pour de nombreuses entreprises, cela ne pose aucun problème, et elles se réjouissent que cela améliore l’efficacité de leur protection. Cependant, pour les entreprises qui souhaitent véritablement réduire au minimum les flux de données, AV-Comparatives mesure également ces derniers, et il se trouve que notre entreprise est celle qui collecte le moins de données télémétriques comparée aux autres fournisseurs.

Conclusions pratiques

Grâce aux experts autrichiens, les RSSI et leurs équipes ont désormais une tâche beaucoup plus simple à accomplir lorsqu’ils vérifient leurs fournisseurs de sécurité. Et pas seulement les 14 qui ont été évalués. Le même cadre peut être appliqué à d’autres fournisseurs de solutions de sécurité, et aux logiciels en général. Mais il en ressort également des conclusions stratégiques…

La transparence facilite la gestion des risques. Si vous êtes responsable du bon fonctionnement d’une entreprise, vous ne voulez pas avoir à vous demander si votre outil de protection deviendra votre point faible. Vous avez besoin de prévisibilité et de fiabilité. L’étude menée par la WKO et AV-Comparatives confirme que notre modèle réduit ces risques et les rend gérables.

Des preuves plutôt que des slogans. Dans cette industrie, il ne suffit pas de pouvoir écrire « Nous sommes sécurisés. » sur votre site Internet. Vous avez besoin de mécanismes d’audit. Le client doit pouvoir se rendre sur place afin de vérifier par lui-même. Nous offrons cette possibilité. D’autres cherchent encore à rattraper leur retard.

La transparence et la maturité vont de pair. Les fournisseurs qui font preuve de transparence envers leurs clients disposent généralement de processus plus aboutis en matière de développement de produits, de réponse aux incidents et de gestion des vulnérabilités. Leurs produits et services sont plus fiables.

Notre approche en matière de transparence (GTI) fonctionne. Il y a plusieurs années, lorsque nous avons annoncé notre initiative et ouvert des Centres de transparence dans le monde entier, nous avons entendu toutes sortes de choses de la part de critiques, certains affirmant notamment que ce projet ne constituait qu’un gaspillage d’argent et que personne n’en avait besoin. Aujourd’hui, des experts européens indépendants affirment que c’est ainsi qu’un fournisseur devrait agir en 2025 et au-delà.

Ce fut un réel plaisir de lire ce rapport. Non seulement parce que ce dernier est élogieux à notre égard, mais également parce que le secteur évolue enfin dans la bonne direction, c’est-à-dire vers plus de transparence et de responsabilité.

Nous avons lancé cette tendance, nous en sommes les leaders, et nous continuerons à être des pionniers en la matière. Alors, chers lecteurs et utilisateurs, n’oubliez pas : la confiance est une chose ; pouvoir vérifier réellement ce qu’il en est en est une autre.