Dans un discours donn l’occasion de la confrence mWise de Mandiant, Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des tats-Unis, a dsign les vritables coupables des cybercrimes : les crateurs de logiciels non scuriss. Easterly a soulign que les fournisseurs de technologies qui livrent des logiciels bogus et vulnrables sont les vritables responsables des attaques cyberntiques. Selon elle, ces produits dfectueux ouvrent la porte aux cybercriminels pour attaquer leurs victimes. Elle a galement critiqu lindustrie pour avoir trop souvent blm les victimes de ne pas avoir appliqu les correctifs assez rapidement, au lieu de demander pourquoi les logiciels ncessitent autant de correctifs urgents.
Les fournisseurs de logiciels qui livrent des codes bogus et non scuriss doivent cesser de permettre aux cybercriminels qui exploitent ces vulnrabilits de voler leurs victimes, a dclar Jen Easterly, directrice de l’agence gouvernementale amricaine charge de la cyberscurit et de la scurit des infrastructures.
La vrit, c’est que les vendeurs de technologie sont les personnages qui exploitent les vulnrabilits pour voler les victimes : Les vendeurs de technologie sont les personnages qui intgrent des problmes dans leurs produits, ce qui ouvre ensuite la porte aux mchants pour attaquer leurs victimes , a dclar Easterly lors d’un discours prononc la confrence mWise de Mandiant.
La ncessit de produits plus srs
Easterly a insist sur le fait que nous navons pas un problme de cyberscurit, mais un problme de qualit logicielle. Elle a appel une demande accrue de produits scuriss plutt que de nouveaux produits de scurit. Elle a galement critiqu la tendance glamouriser les gangs de cybercriminels avec des noms potiques.
Easterly a galement exhort le public cesser de glorifier les gangs criminels en leur donnant des noms potiques. Pourquoi pas Scrawny Nuisance ou Evil Ferret , a-t-elle suggr.
Mme le fait d’appeler les failles de scurit vulnrabilits logicielles est trop indulgent, a-t-elle ajout. Cette expression dilue vraiment la responsabilit . Nous devrions les appeler dfauts de produit , a dclar Easterly. Et au lieu d’accuser automatiquement les victimes de ne pas avoir corrig leurs produits assez rapidement, pourquoi ne pas se demander : pourquoi les logiciels ncessitent-ils autant de correctifs urgents ? La vrit, c’est qu’il faut exiger davantage des vendeurs de technologie : Nous devons tre plus exigeants envers les fournisseurs de technologie .
Si tous les participants la confrence annuelle sur l’infoscurit bnficient de la scurit de l’emploi, a plaisant Easterly, le rle de l’industrie est galement de rendre plus difficile la compromission des systmes par les malfaiteurs.
Nous n’avons pas de problme de cyberscurit, mais un problme de qualit des logiciels
Malgr une industrie de la cyberscurit qui pse plusieurs milliards de dollars, le problme de la qualit des logiciels se chiffre toujours plusieurs milliards de dollars, ce qui entrane un problme mondial de cybercriminalit de plusieurs milliards de dollars , a dplor Easterly. Alors que personne n’achterait une voiture ou ne prendrait l’avion ses risques et prils , c’est ce que nous faisons tous les jours avec les logiciels qui sont la base des infrastructures essentielles des tats-Unis, a-t-elle ajout.
Malheureusement, nous avons succomb au mythe de l’exceptionnalisme technologique , a dclar Easterly. Nous n’avons pas de problme de cyberscurit, mais un problme de qualit des logiciels. Nous n’avons pas besoin de plus de produits de scurit, nous avons besoin de produits plus srs.
Prs de 200 entreprises ont sign l’engagement Secure by Design
Easterly adopte cette posture depuis qu’elle a pris la tte de l’agence amricaine de cyberdfense. Elle a tendance le faire entendre plus fort lors d’vnements industriels, comme la confrence annuelle RSA, o elle a dclar aux participants qu’un code scuris est le seul moyen de faire des ransomwares et des cyberattaques une anomalie choquante .
Naturellement, s’il tait facile d’crire un code irrprochable, on le ferait sans faute. Certains dveloppeurs sont manifestement ngligents ou nafs, ce qui entrane des vulnrabilits et d’autres bogues, et il arrive que des humains comptents, anims des meilleures intentions, commettent tout simplement des erreurs. Quoi qu’il en soit, Easterly n’est pas satisfait du taux de dfauts actuel.
Toujours au RSAC, prs de 70 grands noms (dont AWS, Microsoft, Google, Cisco et IBM) ont sign l’engagement Secure by Design de la CISA, qui consiste s’efforcer de bonne foi d’atteindre sept objectifs en matire de logiciels scuriss dans un dlai d’un an, et d’tre en mesure de montrer leurs progrs de manire mesurable.
Lors de la confrence mWise, Easterly a indiqu que ce nombre tait pass prs de 200 fournisseurs.
Mais l’engagement reste volontaire, de sorte que les diteurs de logiciels qui ne respectent pas ses lignes directrices (telles que l’augmentation de l’utilisation de l’authentification multifactorielle dans leurs produits et la rduction des mots de passe par dfaut) ne seront pas sanctionns s’ils l’ignorent.
Easterly souhaite que cela change. Elle a suggr aux acheteurs de technologie d’utiliser leur pouvoir d’achat pour faire pression sur les fournisseurs de logiciels, en leur demandant s’ils ont sign l’engagement (et, esprons-le, s’ils ont fait plus que mettre de l’encre sur le papier en termes de construction de produits scuriss ds la conception).
cette fin, la CISA a publi des conseils que les organisations qui achtent des logiciels peuvent utiliser, ainsi que des questions qu’elles devraient poser aux fabricants, afin de mieux comprendre s’ils accordent la priorit la scurit dans le cycle de vie du dveloppement des produits.
Utilisez votre voix, jouez un rle actif, utilisez votre pouvoir d’achat pour faire progresser la scurit ds la conception, en l’exigeant , a insist Easterly.
CrowdStrike, l’illustration parfaite de ses propos ?
Des anciens employs rvlent que le contrle qualit ne faisait pas partie de notre processus
Les ingnieurs logiciels de l’entreprise de cyberscurit CrowdStrike se sont plaints de dlais trop courts, de charges de travail excessives et de problmes techniques croissants auprs de leurs suprieurs pendant plus d’un an, avant qu’une panne catastrophique de son logiciel ne paralyse les compagnies ariennes et ne mette hors service les services bancaires et autres pendant des heures.
La vitesse tait la chose la plus importante , a dclar Jeff Gardner, concepteur principal de l’exprience utilisateur chez CrowdStrike, qui a dclar avoir t licenci en janvier 2023 aprs avoir travaill deux ans dans l’entreprise. Le contrle de la qualit ne faisait pas vraiment partie de notre processus ou de nos conversations .
Les problmes ont t soulevs lors de runions, dans des courriels et lors d’entretiens de fin d’emploi, ont expliqu d’anciens employs aux mdias. 24 anciens ingnieurs en informatique, de cadres et d’autres membres du personnel ont dcrit un lieu de travail o les dirigeants privilgiaient la rapidit au dtriment de la qualit, o les travailleurs n’taient pas toujours suffisamment forms et o les erreurs de codage et d’autres tches se multipliaient. Un ancien cadre suprieur a dclar avoir assist de nombreuses runions au cours desquelles le personnel avertissait les dirigeants de l’entreprise que CrowdStrike laisserait tomber ses clients en mettant sur le march des produits qui ne pourraient pas tre pris en charge.
Sur les 24 anciens employs qui ont parl Semafor, 10 ont dclar avoir t licencis ou renvoys et 14 ont dit tre partis de leur propre chef. L’un d’entre eux travaillait encore dans l’entreprise cet t. Trois anciens employs ne sont pas d’accord avec les rcits des autres. Joey Victorino, qui a pass un an dans l’entreprise avant de la quitter en 2023, a dclar que CrowdStrike tait mticuleux dans tout ce qu’il faisait .
Consquences dsastreuses
En juillet 2024, une mise jour logicielle dfectueuse a provoqu lune des plus grandes pannes informatiques de lhistoire, mettant hors service 8,5 millions d’ordinateurs et cotant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont t bloqus dans les aroports, les clients ont t privs de leurs comptes bancaires en ligne et les centres d’appel d’urgence ont t mis hors ligne.
L’incident a cot CrowdStrike environ 60 millions de dollars en contrats qu’elle avait prvu de conclure au cours du trimestre fiscal qui s’est achev le 31 juillet, a dclar le directeur financier Burt Podbere aux analystes lors de la confrence tlphonique sur les rsultats du 28 aot, au cours de laquelle la socit a revu la baisse ses prvisions de recettes et de bnfices pour le reste de l’anne. Adam Meyers, premier vice-prsident des oprations de lutte contre les adversaires, tmoignera devant le Congrs la fin du mois.
Je ne perdrai jamais de vue l’ampleur de l’incident du 19 juillet et je m’engage faire en sorte que cela ne se reproduise jamais , a dclar le PDG George Kurtz aux analystes lors de la confrence tlphonique. Au-del des excuses, je veux que nos actions soient encore plus loquentes que nos paroles. Nous nous efforons de rcuprer les clients rapidement, quel que soit l’endroit ou le besoin .
En clair, cette panne a cot des milliards de dollars en dommages et a gravement terni la rputation de CrowdStrike. Les clients, autrefois fidles, ont commenc remettre en question la fiabilit des produits de lentreprise.
Conclusion
Le message de Jen Easterly est clair : pour lutter efficacement contre les cybercrimes, il est essentiel de se concentrer sur la qualit des logiciels. En exigeant des produits plus srs et en tenant les crateurs de logiciels responsables de leurs dfauts, nous pouvons esprer rduire limpact des cyberattaques et protger nos infrastructures critiques.
Et vous ?
Que pensez-vous du point de vue de Jen Easterly ? tes-vous d’accord avec elle ou non ? Dans quelle mesure ?
Pensez-vous que les crateurs de logiciels devraient tre tenus lgalement responsables des failles de scurit dans leurs produits ? Pourquoi ou pourquoi pas ?
Quels critres devraient tre utiliss pour valuer la scurit dun logiciel avant sa mise sur le march ?
Comment les entreprises peuvent-elles quilibrer la rapidit de dveloppement et la scurit des logiciels ?
Avez-vous dj t victime dune cyberattaque due une faille logicielle ? Comment cela a-t-il affect votre perception des logiciels que vous utilisez ?
Quels sont, selon vous, les principaux obstacles lamlioration de la qualit des logiciels dans lindustrie technologique ?
Pensez-vous que les noms des gangs de cybercriminels influencent la perception publique de la gravit des cyberattaques ? Pourquoi ?
Quelles mesures concrtes les gouvernements devraient-ils prendre pour encourager la cration de logiciels plus scuriss ?
Comment les entreprises peuvent-elles mieux duquer leurs employs sur les pratiques de cyberscurit pour minimiser les risques ?
Voyez-vous des solutions technologiques mergentes qui pourraient aider rsoudre les problmes de scurit logicielle ?
Voir aussi :