Le signalement de vulnérabilités de sécurité informatique sert la protection numérique de chacun. Sur ce point, tout le monde est d’accord. Sauf que…

La divulgation publique de vulnérabilités et failles de sécurité informatique reste un sujet sensible. On s’en doute. Une enquête internationale menée auprès de professionnels IT et de responsables de la sécurité des systèmes d’information, le prouve, chiffres à l’appui.  

Le rapport -réalisé par Research 451 pour Veracode– intitulé «Exploring Coordinated Disclosure»- examine les attitudes, les politiques et les attentes lorsque des vulnérabilités sont identifiées. Sans surprise, 90% des répondants considèrent que la divulgation publique de failles informatiques «sert à améliorer la façon dont les logiciels sont développés, utilisés et corrigés». Ils estiment, en outre, que l’identification de ces failles sert la remédiation et la protection numérique de chacun. 

Pourtant, au-delà des obligations légales de signalement, seuls 9% des professionnels IT qui ont effectivement identifié une telle faille ces derniers mois ont opté pour un processus de divulgation étendu.

La peur de communiquer…

Globalement, 75 % des organisations interrogées déclarent avoir un processus établi pour recevoir des rapports de bugs de la part de chercheurs en sécurité informatique. Mais, un tiers redoute une telle communication. 

Pourtant, 37 % des organisations concernées par l’enquête disent avoir reçu au moins un rapport de divulgation non sollicité dans les 12 derniers mois. De surcroît, 90 % des vulnérabilités identifiées dans ce contexte ont été divulguées de manière coordonnée entre les experts en sécurité et les entreprises concernées.

Enfin, près d’une organisation sur deux propose des programmes et primes de chasse aux bugs informatiques. Mais ice n’est là qu’une partie de la solution. En outre, ces programmes seraient à l’origine de 19 % seulement des rapports de failles, selon le rapport. 

Savoir coopérer

Pour Chris Wysopal, co-fondateur et directeur technique de Veracode, «le problème, est que les politiques de divulgation des vulnérabilités sont extrêmement incohérentes… Une bonne politique de divulgation des vulnérabilités prévoira des procédures permettant de travailler avec des chercheurs en sécurité externes, de définir des attentes en matière de délais et de résultats de résolution, ainsi que de rechercher les défauts et de réparer les logiciels avant leur expédition.»