Comment savoir si vous êtes prêt à lancer un programme de divulgation des failles (VDP) ? Avant de mettre en œuvre un VDP, vous devez effectuer certaines évaluations importantes. Ces évaluations permettent d'identifier les lacunes de votre infrastructure et de préparer l'équipe au flux des rapports de bug entrants. Un VDP correctement implémenté permet d'obtenir un flux constant de rapports. Si votre équipe n'est pas prête pour la charge de travail supplémentaire, le nouveau programme pourrait avoir un impact négatif au lieu d'améliorer la sécurité. L'évaluation de votre programme de sécurité pour identifier et combler les lacunes peut contribuer considérablement à améliorer votre capacité à gérer le débit d'un VDP. Répondre rapidement aux failles signalées peut améliorer votre relation avec la communauté des hackers, ce qui se traduit par un programme plus sain.
Hygiène de sécurité élémentaire
Quelle que soit le niveau de sécurité de votre organisation ou les ressources disponibles, l'évaluation de votre hygiène de sécurité actuelle est le meilleur moyen d'identifier les lacunes. Nous expliquons ci-dessous l'identification des lacunes potentielles dans des domaines clés couramment négligés, tels que la recherche et la correction de bugs, l'analyse de l'origine des problèmes, la détection et la réponse, ainsi que la culture de la sécurité.
Rechercher des bugs
Lorsque vous préparez le lancement d'un VDP, il est important d'évaluer les méthodes utilisées par votre équipe pour identifier les failles de votre environnement. Dans le cadre de votre évaluation et de votre préparation au démarrage d'un VDP, un premier effort doit être effectué pour détecter et corriger les failles.
Si vous ne le faites pas, vous risquez d'enregistrer un pic de rapports de faille lors du lancement du VDP, ce qui risque de submerger votre équipe. La mise en place d'un processus basique d'analyse des failles et d'examen de sécurité permet à votre organisation d'établir des processus fiables pour la gestion des problèmes de sécurité. Lorsque vous lancerez votre VDP, vous serez mieux préparé à gérer les rapports de faille entrants.
Corriger les bugs
En plus de détecter les failles, vous aurez besoin de processus et de ressources bien définis pour vous assurer de les corriger dans les meilleurs délais . Il ne suffit pas de détecter les bugs. La sécurité ne s'améliore que lorsque les bugs sont corrigés. Disposez-vous de processus et de ressources pour gérer les failles ? Quelle est la culture de votre organisation en matière de sécurité ? L'équipe de sécurité est-elle considérée comme les détracteurs, les blocages, l'épine du côté de l'ingénierie ? Ou êtes-vous considéré comme un partenaire collaboratif ? Comment hiérarchisez-vous la correction des failles ? Avez-vous une nomenclature commune et une compréhension de la gravité et des délais de résolution ? Dans quelle mesure est-il facile ou difficile de trouver un propriétaire pour réparer une vulnérabilité identifiée ? Suivez-vous les métriques concernant les failles identifiées, y compris le temps de résolution ? Votre entreprise dispose-t-elle d'un inventaire des actifs ou est-elle un rêve lointain ? Encore une fois, si vous en êtes satisfait et que vous savez comment corriger rapidement les bugs graves, entretenir une relation solide avec les équipes et les personnes responsables de la correction des failles, et mettre en place des ressources pour traiter en douceur les flux entrants de bugs de sécurité, vous êtes sur la bonne voie. Dans le cas contraire, nous vous expliquerons dans le chapitre suivant comment mettre en œuvre un programme efficace de gestion des failles. Dans les deux cas, vous devez mettre en place de solides pratiques de gestion des failles afin de pouvoir gérer le nouveau flux de bugs que vous recevrez de votre VDP, ce qui vous permettra de réagir aux failles identifiées et de les corriger dans les meilleurs délais.
Analyse des causes fondamentales
Au-delà du travail opérationnel consistant à rechercher et à corriger les bugs ponctuels, effectuez-vous une analyse des causes fondamentales des problèmes et identifiez-vous les causes systémiques de l'introduction de failles dans votre environnement ? C’est génial de pouvoir trouver et corriger rapidement les bogues. Toutefois, lorsqu'il s'agit d'exécuter un VDP réussi, vous devez d'abord savoir comment ces bugs apparaissent. Cela peut prendre différentes formes, telles que:
- Identifier comment une faille de sécurité des applications a été introduite.
- Les développeurs utilisent-ils des bibliothèques et des frameworks courants qui réduisent le risque d'introduction de failles ?
- Analyse des données et identification des tendances
- Avez-vous remarqué que l'infrastructure gérée par une équipe en particulier n'est jamais corrigée par des mises à jour de sécurité ?
- Incidents ou brèches de sécurité
- Effectuez un post-mortem avec toutes les parties concernées pour analyser ce qui s'est passé, pourquoi et en tirer des enseignements afin de ne pas commettre les mêmes erreurs à l'avenir.
Si vous n'effectuez pas cette opération, vous pouvez gaspiller beaucoup d'efforts lorsque vous traitez de nombreux rapports de bugs similaires à partir de votre VDP. Si vous lancez un programme de récompense pour la découverte de failles à l'avenir, l'absence d'attribution de licence a également un impact financier sur votre organisation. Dans le chapitre suivant, nous vous donnerons des conseils plus spécifiques sur la façon de mettre en œuvre les processus RCA et une culture post-mortem.
Détection et réponse
Lorsque vous invitez des chercheurs externes à pirater vos ressources, cela a un impact sur vos mécanismes de détection et de réponse. Si vous disposez de systèmes de détection/prévention des intrusions, vous devez réfléchir aux types de tests que vous souhaitez que les chercheurs en sécurité effectuent. Allez-vous créer des exceptions leur permettant de détecter les failles "derrières" ces systèmes de défense automatisés ? Si 10 chercheurs commencent tous à effectuer des analyses de failles sur vos ressources externes à 2h le samedi, des alarmes vont-elles réveiller votre équipe de sécurité ? Comment faites-vous pour distinguer le trafic de test légitime des chercheurs en sécurité d'une attaque réelle contre vos systèmes ? Savez-vous comment exploiter les données générées par les chercheurs en sécurité qui testent vos systèmes ? Si un chercheur en sécurité tente de deviner par force brute les noms d'utilisateur et les mots de passe, peut-il bloquer les vrais utilisateurs ? Avant de lancer un VDP, vous devez prendre en compte tous ces aspects. Vous devez vous assurer d'avoir défini des attentes claires avec les chercheurs en sécurité en ce qui concerne les types de tests acceptés et non acceptés, et déterminer comment configurer vos mécanismes de détection et de réponse existants. Le chapitre suivant approfondira la façon d'aborder cela.
Culture de sécurité
La culture de votre organisation influe grandement sur votre capacité à lancer et maintenir un VDP efficace. Il est utile de prendre du recul et de comprendre qui sont les principaux acteurs qui devront adhérer à cette initiative, et quelle est leur relation existante avec l'équipe chargée de la sécurité des informations. En fonction des différentes personnes concernées et de la manière dont vous pensez qu'elles gèrent une proposition de démarrage d'un programme de divulgation des failles, vous devez identifier des méthodes et des ressources pour les persuader d'adhérer à ce concept. Un partenaire clé qui n'est pas intégré pourrait potentiellement empêcher le démarrage d'un VDP.