Les PSIRT adhèrent à des normes telles que ISO/IEC 30111 et ISO/IEC 29147 pour guider leurs processus de gestion et de divulgation des vulnérabilités. Ces normes fournissent une approche structurée pour identifier, analyser et atténuer les problèmes de sécurité dans les produits, garantissant ainsi que les réponses sont cohérentes, efficaces et conformes aux attentes internationales en matière de sécurité.
Une équipe PSIRT est un groupe au sein d'une organisation qui gère les incidents de sécurité liés à ses produits ou services et y répond. L'objectif principal d'une équipe PSIRT est d'identifier, d'évaluer, de hiérarchiser et de répondre aux vulnérabilités ou menaces qui peuvent avoir un impact sur la sécurité des offres de l'entreprise.
L'équipe de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team, CSIRT) est une structure de longue date des services de sécurité de l'information. L'équipe CSIRT, une équipe d'experts issus de différents domaines d'une organisation, répond aux incidents de sécurité tels que les violations de données. Ces dernières années, les fabricants de produits technologiques ont développé leur propre version interne de l'équipe CSIRT, connue sous le nom de Product Security incident Response Team (PSIRT), qui répond aux vulnérabilités des propres produits de l'entreprise. Les équipes PSIRT ont vu le jour lorsque les entreprises technologiques ont commencé à reconnaître que leurs produits jouaient souvent un rôle dans les incidents de sécurité de leurs clients. Elles ont donc cherché un moyen pour éviter de tels incidents et pour minimiser leur impact.
Qu'est-ce qu'une équipe PSIRT ?
Une équipe PSIRT est généralement un groupe d'employés, parfois complété par des sous-traitants et des consultants, qui se concentrent sur l'identification, l'évaluation et la correction des failles de sécurité dans les produits de l'entreprise. Par exemple, l'équipe PSIRT d'un fabricant de logiciel de serveur peut découvrir que son micrologiciel contient du code que les pirates peuvent exploiter pour prendre le contrôle du serveur. Pour corriger cette vulnérabilité, l'équipe PSIRT analysera la vulnérabilité, trouvera un remplacement sécurisé pour le code en question et le fournira aux équipes d'ingénierie.
En termes organisationnels, l'équipe PSIRT est généralement située à l'intérieur de l'organisation d'ingénierie sécurisée de l'entreprise. Cette approche permet de garantir que les fonctions de l'équipe PSIRT contribuent au cycle de développement sécurisé de l'entreprise (SDL). L'équipe PSIRT peut également participer à la collecte des exigences et à la modélisation des risques, dans le but d'intégrer la sécurité au produit.
Pourquoi une équipe PSIRT est-elle importante ?
Les chefs d'entreprise et les chefs de produit considèrent les équipes PSIRT comme importantes pour diverses raisons. Au minimum, une équipe PSIRT efficace garantit une meilleure qualité des produits et moins de mises à jour de correctifs de sécurité. Ces résultats permettent non seulement de réduire les coûts, mais aident également la marque en évitant l'apparence de laxisme quant à la sécurité d'un produit.
Un problème plus important est la prise de conscience croissante que les produits technologiques individuels peuvent être des sources majeures d'exposition aux risques pour les clients. Le fabricant d'un terminal IoT, par exemple, ne souhaiterait probablement pas que son terminal soit la cause de la violation de données d'un client. Un incident de ce type peut s'avérer embarrassant et coûteux à gérer, en particulier si le fabricant du terminal n'est pas préparé et peine à trouver une solution après que la violation s'est produite. Si le fabricant du terminal dispose d'une équipe PSIRT, il peut soit éviter entièrement le risque, soit au moins être prêt à réagir immédiatement et efficacement au problème.
Composition d'une équipe PSIRT
Comme son nom l'indique, une équipe PSIRT est une équipe, de sorte que ses composants les plus importants sont les personnes. Les membres de l'équipe PSIRT doivent avoir des connaissances et de l'expérience dans les différents aspects de la cybersécurité. Certains peuvent être des experts en sécurité des applications. D'autres peuvent avoir de l'expérience en matière de sécurité open source, etc. Dans une grande entreprise, l'équipe PSIRT peut être une équipe dédiée à temps plein. Dans une petite organisation, l'équipe PSIRT peut comprendre une petite équipe de base d'employés à temps plein, complétée par des personnes travaillant ailleurs dans l'organisation, mais disponibles pour aider à la réponse aux incidents ou à l'analyse des vulnérabilités selon les besoins.
Le responsable de l'équipe PSIRT est une personne d'une grande importance dans la réussite de l'équipe PSIRT. En plus d'être un bon gestionnaire, il doit être compétent dans la création de stratégies, de processus et de procédures qui permettent à l'équipe PSIRT de faire son travail. Il doit être un bon communicateur et habile à gérer les dynamiques organisationnelles complexes qui entourent la sécurité des produits.
Par la suite, l'équipe PSIRT aura des contacts avec d'autres services, tels que les services juridique et conformité. Les fabricants d'avionique, par exemple, sont soumis aux réglementations de la FAA concernant la divulgation des vulnérabilités de leurs produits. L'équipe PSIRT sera probablement un acteur clé dans ce domaine de la conformité. L'équipe PSIRT aura également un contact au sein du groupe de communication de l'entreprise, par exemple, avec l'équipe des relations publiques concernant les divulgations publiques de problèmes de sécurité ou les déclarations sur les incidents de sécurité dans les entreprises clientes.
Comment fonctionne une PSIRT ?
Une équipe PSIRT bien gérée fonctionnera sur la base de politiques et de procédures établies. À l'instar d'une CSIRT, une PSIRT tentera toujours de reproduire les vulnérabilités dans un environnement sécurisé. Ensuite, en fonction de la gravité perçue de la vulnérabilité et des estimations de son impact sur le produit, l'équipe PSIRT peut choisir d'informer la direction. Si la direction décide de divulguer la vulnérabilité, l'équipe PSIRT collaborera avec les parties prenantes concernées dans le processus d'annonce.
L'équipe déterminera ensuite un moyen d'atténuer la vulnérabilité et lancera un processus de correction. Cela implique la création d'un plan de correction en partenariat avec les équipes de gestion des produits, qui sont responsables du produit sur le marché.
Dans certains cas, l'entreprise apprend une vulnérabilité par un tiers. Dans ce cas, l'équipe PSIRT doit évaluer la vulnérabilité et formuler des recommandations sur la manière d'y répondre. Par exemple, si un terminal utilise une certaine version du système d'exploitation Linux et qu'une équipe de recherche de bogues trouve une faille dans cette version de Linux, l'équipe PSIRT doit élaborer un plan pour gérer cette faille et communiquer à son sujet avec les clients.
PSIRT vs CSIRT
Bien que la CSIRT et la PSIRT aient des structures et des processus opérationnels similaires, leurs priorités respectives sont entièrement différentes. La mission de l'équipe CSIRT est d'aider l'entreprise à assurer la sécurité, en s'efforçant de défendre ses réseaux, ses applications et ses données contre les acteurs malveillants. La PSIRT, en revanche, vise à assurer la sécurité des produits de l'entreprise.
Meilleures pratiques pour créer une équipe PSIRT efficace
Les meilleures pratiques pour créer une équipe PSIRT efficace émergent dans les entreprises technologiques. Certaines sont liées à la dotation en personnel et à la structure organisationnelle. Par exemple, une bonne pratique est d'éviter de doter la PSIRT en tant qu'équipe autonome, mais plutôt de construire l'équipe en répartissant ses membres entre différents groupes, tels que l'assurance qualité (QA), les opérations de sécurité et le développement de logiciels.
Une équipe PSIRT a besoin d'un budget approprié et d'outils adaptés pour faire son travail. Il n'est pas judicieux de supposer que la PSIRT se servira de la même technologie utilisée par tous les autres utilisateurs. Une équipe PSIRT a besoin de ressources informatiques pour créer des environnements de test isolés, par exemple. Dans de nombreux cas, elle devra se procurer du matériel spécialisé.
L'éducation des parties prenantes est également une meilleure pratique pour les PSIRT. Tous les employés et les responsables n'ont pas une compréhension intuitive de la sécurité des produits. Les meilleurs résultats résultent de la connaissance et de l'adhésion des personnes à la mission de l'équipe PSIRT. Une autre bonne pratique est la documentation des politiques et des processus de l'équipe PSIRT. Naturellement, les ateliers de formation découlent de cette pratique.
Autres meilleures pratiques pertinentes :
- Rapport aux groups externes : travailler avec des entités externes qui suivent les vulnérabilités affectant votre produit. Il peut s'agir de traiter avec des personnes qui décortiquer les choses et trouver des problèmes cachés dans un produit. Ce n'est peut-être pas très amusant, mais c'est un excellent moyen de détecter les failles qui affectent la sécurité.
- Automatiser le partage de renseignements : informer automatiquement les autres groupes de l'entreprise des vulnérabilités dès qu'elles sont découvertes. Ces parties prenantes peuvent avoir des idées sur les mesures correctives et d'autres informations utiles à partager.
- Prêtez attention aux sources publiques de données sur les vulnérabilités et les menaces — suivre les centres de partage et d'analyse d'informations (Information Sharing and Analysis Centers, ISAC) ainsi qu'aux référentiels tels que GitHub.
Meilleures pratiques d'atténuation et de réponse aux incidents pour les PSIRT
Lorsqu'une vulnérabilité est identifiée, la principale responsabilité d'une équipe PSIRT est de travailler à l'atténuation immédiate et de s'assurer que l'organisation répond efficacement à la menace. Ce processus implique une analyse détaillée de la vulnérabilité, la détermination de son impact sur les produits de l'entreprise et le lancement d'efforts de correction.
Le processus d'atténuation est guidé par des normes de sécurité établies telles que la norme ISO/IEC 30111, qui décrit les meilleures pratiques pour gérer les vulnérabilités de sécurité dans les produits et services. Ces normes internationales garantissent que les entreprises maintiennent une approche cohérente et efficace de la gestion des vulnérabilités, en veillant à ce que les problèmes de sécurité soient résolus avant qu'ils ne puissent être exploités par les cybercriminels.
Une équipe PSIRT travaillera également en étroite collaboration avec d'autres équipes internes, telles que le développement et l'assurance qualité, pour s'assurer que les correctifs sont développés et testés rapidement. Dans les cas où une vulnérabilité ne peut pas être entièrement corrigée immédiatement, des stratégies d'atténuation temporaires (telles que des modifications de configuration ou des mises à jour des paramètres de sécurité) sont mises en œuvre pour réduire le risque d'exploitation.
Une fois l'atténuation terminée, les équipes PSIRT publient généralement des rapports ou des avis de vulnérabilité publics pour informer les clients et les partenaires du problème de sécurité, en fournissant des instructions claires sur la façon d'appliquer des mises à jour ou des correctifs de sécurité. L'équipe peut également coordonner ses activités avec des organismes externes tels que les CETS (Computer Emergency Response Teams) pour partager des informations sur la vulnérabilité et s'assurer qu'elle est traitée de manière exhaustive dans l'ensemble du secteur.
Rapports sur les vulnérabilités et le rôle des chercheurs en sécurité dans les PSIRT
Un élément clé de l'efficacité de toute PSIRT est sa capacité à collaborer efficacement avec la communauté de la sécurité, y compris les chercheurs en sécurité et les experts tiers qui découvrent et signalent les vulnérabilités. Cette collaboration implique souvent l'utilisation des normes CVE (Common Vulnerabilities and Exposures), qui fournissent un identifiant universel pour les vulnérabilités et aident à rationaliser la communication entre les chercheurs, les organisations et les clients.
Les chercheurs en sécurité jouent un rôle essentiel dans l'identification des failles de sécurité qui peuvent ne pas être apparentes pendant le cycle de développement du produit. Ces failles, si elles ne sont pas détectées, peuvent être exploitées par des pirates malveillants ou des cybercriminels. En soumettant des rapports de vulnérabilité aux PSIRT, les chercheurs fournissent la première ligne de défense pour prévenir l'exploitation des failles de sécurité dans les produits et services.
Pour faciliter ces rapports, les PSIRT utilisent des canaux sécurisés, tels que les clés PGP, afin de garantir la confidentialité des informations échangées. Ces soumissions sont ensuite évaluées et triées par la PSIRT, à l'aide d'outils tels que le CVSS (Common Vulnerability Scoring System) pour hiérarchiser les efforts d'atténuation en fonction de la gravité des vulnérabilités identifiées. En favorisant une relation ouverte et sécurisée avec la communauté de la sécurité au sens large, les PSIRT peuvent améliorer leur capacité à répondre efficacement aux menaces potentielles et aux problèmes de sécurité tels que les logiciels malveillants.
Foire aux questions (FAQ)
Une équipe PSIRT collabore avec des chercheurs en sécurité en recevant et en analysant les rapports de vulnérabilité que ces chercheurs soumettent. Les rapports, qui sont souvent alignés sur les normes CVE, sont gérés de manière sécurisée à l'aide de clés PGP pour garantir la confidentialité. L'équipe PSIRT évalue ensuite la vulnérabilité, hiérarchise les efforts d'atténuation à l'aide d'outils tels que le CVSS et communique à la fois avec le chercheur et le public au sujet de la résolution.
Les vulnérabilités et expositions courantes (CVE) sont des identifiants uniques attribués à des vulnérabilités de sécurité connues publiquement. Un score CVSS (Common Vulnerability Scoring System) quantifie la gravité d'une vulnérabilité en fonction de facteurs tels que l'impact, l'exploitabilité et la complexité. Les PSIRT utilisent à la fois des identifiants CVE et des scores CVSS pour communiquer et hiérarchiser efficacement les vulnérabilités.
Une fois qu'une vulnérabilité a été corrigée, une PSIRT divulgue le problème au public par le biais d'un rapport de vulnérabilité ou d'un avis de sécurité. Ce rapport inclut des détails sur la vulnérabilité, les mesures d'atténuation prises et les correctifs ou mises à jour nécessaires. L'équipe PSIRT peut également créditer le chercheur en sécurité qui a découvert la faille, favorisant ainsi la bonne volonté et encourageant la collaboration future avec la communauté de la sécurité.
Une PSIRT joue un rôle essentiel dans la gestion des incidents, en se concentrant sur l'identification et l'atténuation rapides des vulnérabilités avant qu'elles ne puissent être exploitées. Il s'agit notamment d'analyser la faille de sécurité, de coordonner les efforts de résolution avec les équipes internes et de communiquer à la fois en interne et en externe afin de minimiser l'impact de l'incident sur les clients et l'entreprise.
Pourquoi les clients choisissent-ils Akamai ?
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.