Des orientations conjointes décrivent la manière dont les éditeurs de logiciels devraient travailler avec les chercheurs en sécurité alors que l’IA accélère la découverte des vulnérabilités et augmente la pression sur la gestion des vulnérabilités.
La Cybersecurity and Infrastructure Security Agency (CISA) et quatre agences internationales de cybersécurité ont publié des lignes directrices exhortant les fabricants de logiciels et les fournisseurs de services en ligne à établir des programmes coordonnés de divulgation des vulnérabilités (CVD), affirmant qu’un engagement structuré avec les chercheurs en sécurité peut contribuer à améliorer la gestion des vulnérabilités et la sécurité des produits.
Publié conjointement avec la National Security Agency (NSA) des États-Unis, le Centre de coordination de l’équipe japonaise d’intervention d’urgence informatique (JPCERT/CC), le Centre national de cybersécurité des Pays-Bas (NCSC-NL) et le Centre national de cybersécurité du Royaume-Uni (NCSC-UK), le guide « Établir un programme coordonné de divulgation des vulnérabilités pour travailler avec les chercheurs en sécurité » décrit comment les organisations peuvent créer des programmes publics pour recevoir, évaluer et répondre aux rapports de vulnérabilité impliquant des logiciels, du matériel et des produits réseau.
Selon les directives, un programme CVD bien défini permet aux fabricants de logiciels et aux fournisseurs de services en ligne de mieux évaluer les risques potentiels, d’améliorer les processus de gestion des vulnérabilités et de prendre des décisions éclairées qui renforcent la sécurité des produits.
CISA a déclaré que ces lignes directrices soutiennent son initiative Secure by Design, qui encourage les fournisseurs de technologies à créer des produits plus sécurisés et à assumer une plus grande responsabilité dans l’identification et la correction des vulnérabilités.
« La divulgation coordonnée des vulnérabilités est fondamentale pour la construction d’un écosystème logiciel sécurisé », a déclaré Chris Butera, directeur adjoint exécutif par intérim pour la cybersécurité de la CISA, dans un communiqué.
« Les pratiques décrites dans ce guide aident à protéger les clients, à renforcer les produits et à soutenir l’initiative Secure by Design de CISA, qui encourage les entreprises à être transparentes et responsables dans la manière dont elles construisent et maintiennent leur technologie », a déclaré Butera.
Créer un programme de divulgation efficace
Le guide recommande aux organisations de publier une politique claire de divulgation des vulnérabilités décrivant comment les chercheurs peuvent signaler les vulnérabilités, quelles activités de test sont autorisées, comment les rapports seront traités et à quoi les chercheurs doivent s’attendre tout au long du processus d’évaluation. CISA a déclaré que le maintien de la communication avec les chercheurs contribue à maintenir la transparence du processus et à renforcer la confiance entre les fournisseurs et la communauté de recherche en sécurité.
Piyush Sharma, co-fondateur et PDG de la société de cybersécurité Tuskira, a déclaré que ces lignes directrices répondent à une exigence opérationnelle clé pour les chercheurs et les équipes de sécurité.
« La CISA a raison de souligner que la divulgation des vulnérabilités nécessite un processus clair », a déclaré Sharma. « Les chercheurs doivent savoir où signaler une faille, tandis que les équipes de sécurité doivent définir la responsabilité pour valider, hiérarchiser et corriger les résultats. »
Andrew Costis, directeur technique de l’équipe de recherche adverse chez AttackIQ, a déclaré que l’établissement d’un canal de signalement n’est que le début du processus.
« Créer un chemin clair permettant aux chercheurs de signaler les vulnérabilités est une première étape importante, mais le véritable travail commence une fois que ce rapport est publié », a déclaré Costis. « Les équipes de sécurité doivent comprendre à quoi la faiblesse pourrait donner accès à un attaquant et avec quelle urgence il faut y remédier. »
Selon la CISA, les chercheurs en sécurité peuvent aider les fabricants de logiciels et les fournisseurs de services en ligne à identifier les faiblesses avant qu’elles ne soient exploitées, mais seulement si les organisations fournissent un mécanisme clair et sûr pour signaler les vulnérabilités.
Prioriser les vulnérabilités à grande échelle
Selon Sharma, ces directives interviennent alors que la découverte de vulnérabilités assistée par l’IA augmente le volume de découvertes de sécurité que les équipes de sécurité des entreprises doivent évaluer et corriger.
« Le défi est que la découverte de vulnérabilités assistée par l’IA augmente le volume de divulgations plus rapidement que la plupart des organisations ne peuvent les évaluer manuellement », a-t-il déclaré.
Sharma a déclaré que les organisations devraient éviter de traiter chaque vulnérabilité divulguée comme étant également urgente et plutôt déterminer si une faille crée une voie d’attaque accessible, identifier les actifs exposés et évaluer si les contrôles existants peuvent interrompre une attaque pendant que la correction est en cours.
Costis a fait écho à ce point de vue, affirmant que la gestion des vulnérabilités devrait se concentrer sur l’exploitabilité plutôt que sur les seuls scores de gravité.
« Les vulnérabilités ne peuvent pas être traitées comme des découvertes isolées ou hiérarchisées uniquement en fonction de leur gravité », a-t-il déclaré. « Les équipes doivent comprendre comment une faiblesse se connecte au reste de leur environnement et si elle crée un chemin viable vers les systèmes critiques. »
Lorsque les correctifs ne sont pas disponibles, Sharma a déclaré que la validation de contrôles compensatoires peut réduire considérablement les risques pour l’entreprise jusqu’à ce que les mesures correctives soient terminées.
Costis a déclaré que les organisations devraient également vérifier que la correction a éliminé les chemins d’attaque exploitables plutôt que de simplement confirmer qu’une vulnérabilité a été corrigée.
« Clôturer un ticket est une chose », a-t-il déclaré. « Prouver que la voie d’attaque est brisée et que la solution résiste au comportement de l’adversaire du monde réel en est une autre. »



