Comment faire naître la confiance dans les technologies que nous proposons en tant que fournisseurs ? Ce sujet est incontestablement une question clé qui mérite d’être soulevée et qui est rarement évoquée par les éditeurs et concepteurs de solutions de Cyber sécurité. Il s’agit donc de donner quelques pistes de lecture pour mieux comprendre ce point stratégique.
Bien comprendre le contexte général
L’actualité récente a montré que les solutions de sécurité pouvaient se retrouver dans l’œil du cyclone dès que leur efficacité ou leur fiabilité suscitait le moindre doute. Par exemple, l’affaire Snowden a révélé aux yeux de tous l’existence du catalogue ANT répertoriant les « implants » et autres « portes dérobées » utilisables dans les solutions de sécurité réseau pour protéger et soutenir les intérêts des États-Unis. Cette information, sans être véritablement une surprise, était désormais dévoilée publiquement.
Bien sûr, ces portes dérobées pouvaient avoir été mises en place maladroitement pour des raisons techniques ou être liées à des vulnérabilités 0-day. Nombre de fournisseurs impliqués prétendirent ne pas avoir délibérément affaibli leur solution. Je ne porterai aucun jugement sur ce point, car tel n’est pas mon rôle. Cependant, au-delà de l’impact potentiel sur la souveraineté nationale, les portes dérobées peuvent avoir d’autres conséquences dramatiques. Nous avons été témoins des impacts désastreux de la fuite révélée par les Shadow Brokers concernant plusieurs failles de MS Windows utilisées par la NSA comme des portes dérobées potentielles. Les ransomwares Wannacry, NotPetya et même, plus récemment, Bad Rabbit, ont pu se propager à grande vitesse grâce à ces failles.
Je dirais que cette situation met en lumière un défi majeur auquel sont confrontés les fournisseurs de solutions de cybersécurité. Nos technologies manipulent et inspectent des fichiers sensibles, traitent et stockent des données personnelles, cryptent des informations confidentielles, accèdent à des ressources dont l’usage est réglementé, gèrent des identités numériques, analysent le trafic et les comportements, etc. Comment garantir à nos clients et à notre écosystème la fiabilité de ces opérations ? Comment respecter la souveraineté dans un contexte de tensions politiques internationales ? Nous le savons tous : l’économie numérique ne pourra s’épanouir que dans un climat de confiance. Ces questions attendent donc des réponses.
Pour les fournisseurs de solutions de sécurité réseau, cette question est d’autant plus vitale que le cryptage du trafic est l’un des piliers d’un espace numérique fiable. Selon Gartner, 80 % du trafic des entreprises sur le web sera crypté d’ici 2019, ce qui est une bonne chose. Cela signifie également qu’un nombre croissant d’attaques par des programmes malveillants (y compris les ransomwares) passeront par HTTPS pour dissimuler l’infection initiale et prendre le contrôle des communications. Face à cette situation, Gartner recommande aux entreprises et organisations de formaliser un plan pluriannuel autour de la mise en place de solutions de déchiffrement HTTPS et d’un programme d’inspection. Cette technique d’inspection SSL relève de la méthode du Man-In-The-Middle, ce qui signifie que nous créons un point de vulnérabilité dans des communications et des échanges sécurisés. Une faiblesse dans les produits réalisant le déchiffrement et l’inspection SSL pourrait alors entraîner l’effondrement de toute la chaîne de confiance.
Quelques pistes envisageables
Tout d’abord, nous pouvons nous fier aux tests effectués par des entreprises externes spécialisées dans l’évaluation des technologies de sécurité. Ils sont tout à fait à même d’évaluer l’efficacité de mécanismes de protection. Cependant, ces tests —qui peuvent s’avérer très onéreux — ne portent pas réellement sur la conception en soi de la sécurité.
Il est également possible de s’appuyer sur le cadre défini par les critères communs, adoptés par 26 pays. Toutefois, la portée de l’évaluation, appelée la cible de sécurité, est définie par le fournisseur lui-même et peut se limiter à une petite partie des logiciels audités. Malheureusement, seuls certains pays mesurent l’importance et évaluent la pertinence de cette cible de sécurité. Enfin, la démultiplication des niveaux de garantie du cadre des critères communs les rend difficilement compréhensibles pour les clients.
Nous pouvons également évoquer les programmes de « bug bounty », les logiciels d’analyse statique de code ou les audits indépendants pour détecter et corriger les failles. Ces initiatives sont efficaces pour améliorer la sécurité des technologies, parfois dès la phase de conception, mais il est difficile de les présenter comme garantie aux utilisateurs des solutions.
Enfin, les certifications officielles jouent un rôle important. En France, par exemple, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) évalue le niveau de fiabilité des produits de sécurité à l’aide d’un cadre spécifique de qualification, qui est une extension des principes des critères communs. Ce cadre définit trois niveaux de qualification basés sur des cibles de sécurité prédéfinies. Leur compréhension s’en trouve donc simplifiée. Selon le niveau de qualification, un audit de code indépendant est réalisé sur des composant essentiels à la sécurité, comme la cryptographie. Les failles potentielles sont également évaluées, ainsi que l’environnement physique de développement. Cette méthode apporte une preuve de la solidité des produits et de l’absence de vulnérabilités pouvant servir de porte dérobée.
La nécessité de concevoir un cadre global
Le fait que ce cadre de qualification ne soit reconnu qu’en France pose toutefois un problème. A titre d’exemple, l’Allemagne et le Royaume-Uni disposent d’un cadre propre, édicté respectivement par le BSI (office fédéral de la sécurité des technologies de l’information) et le NCSC (Centre national de cybersécurité). La situation actuelle n’est donc ni évolutive, ni financièrement acceptable pour la plupart des fournisseurs qui seraient amenés à passer les certifications dans chaque pays. Pour créer un marché numérique unique en Europe, bénéficiant d’un niveau de confiance approprié et assurant la souveraineté européenne, nous devons mettre en œuvre des certifications reconnues par l’ensemble des pays européens. Le message semble avoir été compris par la Commission Européenne qui a présenté récemment le lancement d’une initiative pour créer un cadre global de certification en Europe. Cette mesure constituera une avancée majeure, à la condition qu’elle s’appuie sur l’expérience et les critères d’évaluation des pays matures en la matière et qu’elle ne constitue pas un nivellement des exigences par le bas.
Un cap et des perspectives nécessaires
Enfin, le développement d’un cadre de confiance dans les technologies de sécurité passera forcément par une meilleure collaboration et coopération de l’ensemble des parties prenantes de l’écosystème cyber. Ainsi, les échanges continus entre secteurs public et privé, la création d’alliances entre les fournisseurs de solutions de cybersécurité et l’implication des clients dans le processus de développement, par le biais d’une conception conjointe, permettront assurément d’élever le niveau de fiabilité et d’efficacité des équipements de protections.
Par Matthieu BONENFANT, Directeur Marketing de Stormshield