L’Office of the National Cyber Director (ONCD) de la Maison Blanche a publi un rapport appelant la communaut technique rduire de manire proactive la surface d’attaque dans le cyberespace. Le rapport s’intitule « Back to the Building Blocks: A Path Toward Secure and Measurable Software ».
RSUM
La stratgie nationale de cyberscurit du prsident Biden met en vidence deux changements fondamentaux : la ncessit de rquilibrer la responsabilit de la dfense du cyberespace et de rorienter les incitations pour favoriser les investissements long terme dans la cyberscurit. Ce rapport dmontre que la communaut technique est bien place pour faire avancer ces deux objectifs stratgiques. Tout d’abord, afin de rduire les vulnrabilits de la scurit de la mmoire grande chelle, les crateurs de logiciels et de matriel peuvent mieux scuriser les lments constitutifs du cyberespace. Le prsent rapport se concentre sur le langage de programmation en tant qu’lment de base et examine l’architecture matrielle et les mthodes formelles en tant qu’approches complmentaires permettant d’obtenir des rsultats similaires. Deuximement, afin d’tablir des mesures prcises de la qualit de la cyberscurit, des progrs peuvent tre raliss pour rsoudre le problme difficile et complexe de la mesurabilit des logiciels. Le prsent rapport tudie la manire dont ces paramtres peuvent modifier les forces du march afin d’amliorer la qualit de la cyberscurit dans l’ensemble de l’cosystme.
PARTIE I : INTRODUCTION
Les utilisateurs de logiciels et de matriel informatique sont constamment placs dans la position intenable de devoir ragir aux cyber-urgences. La rponse chaque crise les laisse souvent sur le carreau, et ceux qui scurisent les systmes en premire ligne ne devraient pas avoir supporter tout le poids de ce fardeau. L’intense ractivit exige par le statu quo actuel rduit la capacit des dfenseurs prvoir la prochaine vague d’attaques et s’y prparer.
Cette attitude dcoule du fait que l’attnuation des vulnrabilits connues des logiciels est un problme de systmes complexes et que l’cosystme actuel n’incite pas suffisamment aux investissements ncessaires pour scuriser les fondations du cyberespace. Depuis 2021, l’administration Biden-Harris a pris des mesures importantes, commencer par le dcret 14028 sur l’amlioration de la cyberscurit de la nation, pour inciter l’cosystme corriger les catgories de vulnrabilits connues par des pratiques de dveloppement de logiciels scuriss tout au long de la chane d’approvisionnement. Continuer encourager le gouvernement et le secteur priv agir de la sorte peut avoir un impact considrable sur l’amlioration de la cyberscurit du pays.
Toutefois, mme si toutes les vulnrabilits connues taient corriges, la prvalence des vulnrabilits non dcouvertes dans l’cosystme logiciel prsenterait toujours un risque supplmentaire. Une approche proactive qui se concentre sur l’limination de classes entires de vulnrabilits rduit la surface d’attaque potentielle et se traduit par un code plus fiable, moins de temps d’arrt et des systmes plus prvisibles. En fin de compte, cette approche permet aux tats-Unis de favoriser la croissance conomique, d’acclrer l’innovation technique et de protger la scurit nationale. Laisser ces risques non matriss a un cot lev et peut permettre aux adversaires de l’Amrique de tenter de tirer profit des circonstances.
Pour faire face cette dynamique, le prsident Biden a sign en mars 2023 la stratgie nationale de cyberscurit (la stratgie), qui prsente une vision positive du cyberespace et imagine une nouvelle approche pour rsoudre ces problmes difficiles et de longue date. La stratgie prvoit deux changements fondamentaux dans la manire dont les tats-Unis rpartissent les rles, les responsabilits et les ressources. Tout d’abord, elle appelle rquilibrer la responsabilit de la dfense du cyberespace en la confiant ceux qui sont les plus capables et les mieux placs pour rduire les risques pour tous. Deuximement, elle souligne la ncessit de rorienter les incitations afin de favoriser les investissements long terme ncessaires pour rendre le cyberespace plus rsilient et plus dfendable dans les annes venir. Cette stratgie reconnat qu’il s’agit d’une occasion unique de raliser des progrs significatifs sur ces problmes cyberntiques difficiles au cours de cette dcennie dcisive.
Depuis sa publication, l’administration Biden-Harris a pris des mesures concrtes pour raliser ces deux changements fondamentaux. Le plan de mise en uvre de la stratgie nationale de cyberscurit (National Cybersecurity Strategy Implementation Plan – NCSIP) prsente une feuille de route d’initiatives dtailles permettant au gouvernement des tats-Unis de mener une action coordonne. La stratgie nationale de formation et d’emploi dans le domaine de la cyberntique (National Cyber Workforce and Education Strategy – NCWES), qui dcoule de la stratgie, prsente un plan permettant aux employeurs d’accrotre leur main-d’uvre dans le domaine de la cyberntique et aux ducateurs d’largir l’accs la formation dans ce domaine. Le prsent rapport s’adresse directement la communaut technique, notamment aux fabricants de technologies et aux chercheurs universitaires, en illustrant deux faons dont leurs actions peuvent apporter des amliorations significatives la posture de cyberscurit de la nation.
Les programmeurs qui crivent des lignes de code ne le font pas sans consquence ; la faon dont ils font leur travail est d’une importance capitale pour l’intrt national. Ce passage de la raction la prparation stratgique souligne l’norme influence que la communaut technique peut avoir sur la scurit d’un cosystme numrique partag. Le prsent rapport propose une double approche : premirement, afin de rduire les vulnrabilits en matire de scurit de la mmoire grande chelle, les crateurs de logiciels et de matriel peuvent scuriser les lments constitutifs du cyberespace. Ce rapport se concentre sur le langage de programmation en tant qu’lment de base, et explore l’architecture matrielle et les mthodes formelles en tant qu’approches complmentaires pour atteindre des rsultats similaires. Deuximement, afin d’tablir de meilleures mesures de la qualit de la cyberscurit, la communaut des chercheurs peut s’attaquer au problme difficile et complexe de la mesurabilit des logiciels. Le prsent rapport tudie la manire dont ces paramtres peuvent influencer les forces du march afin d’amliorer la qualit de la cyberscurit dans l’ensemble de l’cosystme.
Ce travail ne peut tre accompli par la seule action gouvernementale. Ces approches seront des entreprises ambitieuses qui ncessiteront une attention constante et multisectorielle dans les annes venir. Alors que ces efforts cruciaux progressent, il y a lieu d’tre optimiste quant la capacit de surmonter les dfis qui nous attendent. Il n’existe pas de « solution miracle » en matire de cyberscurit, mais la puissance vient de l’alignement des ressources d’aujourd’hui sur les aspirations de demain. La prosprit et la scurit futures de l’cosystme numrique exigent une coopration dtermine avec la communaut technique.
PARTIE II : SCURISER LES LMENTS CONSTITUTIFS DU CYBERESPACE
Afin de rduire la charge qui pse actuellement sur les utilisateurs finaux pour qu’ils se protgent contre les menaces de cyberscurit, des efforts doivent tre faits pour liminer de manire proactive des catgories entires de vulnrabilits logicielles. Pour mieux comprendre la prvalence de ces catgories, les fabricants de logiciels devraient envisager de publier en temps utile des donnes compltes et cohrentes sur les vulnrabilits et expositions communes (CVE), y compris l’numration des faiblesses communes (CWE). Une analyse antrieure des donnes CVE a permis d’identifier les bogues de scurit de la mmoire comme l’une des catgories de vulnrabilits les plus rpandues qui ont tourment les cyberdfenseurs pendant des dcennies.
Les vulnrabilits lies la scurit de la mmoire sont une catgorie de vulnrabilits affectant la manire dont la mmoire peut tre accde, crite, alloue ou dsalloue de manire non intentionnelle. Les experts ont identifi quelques langages de programmation qui ne prsentent pas les caractristiques associes la scurit de la mmoire et qui sont galement trs rpandus dans les systmes critiques, tels que C et C++. Le choix d’utiliser ds le dpart des langages de programmation sans risque pour la mmoire, comme le recommande la feuille de route sur la scurit des logiciels libres de la Cybersecurity and Infrastructure Security Agency (CISA), est un exemple de dveloppement de logiciels selon le principe de la scurit ds la conception.
Il existe deux grandes catgories de vulnrabilits en matire de scurit de la mmoire : les vulnrabilits spatiales et les vulnrabilits temporelles. Les problmes de scurit de la mmoire spatiale rsultent d’accs la mmoire effectus en dehors des limites « correctes » tablies pour les variables et les objets en mmoire. Les problmes de scurit temporelle de la mmoire surviennent lorsque l’on accde la mmoire en dehors du temps ou de l’tat, par exemple en accdant aux donnes d’un objet aprs que celui-ci a t libr ou lorsque les accs la mmoire sont entrelacs de manire inattendue. Un grand nombre des principales vulnrabilits en matire de cyberscurit survenues au cours des dernires dcennies ont t facilites par des failles de scurit de la mmoire, notamment le ver Morris en 1988, l’attaque par dni de service du ver Slammer en 2003, la vulnrabilit Heartbleed en 2014 et la chane d’exploitation BLASTPASS en 2023. Depuis plus de 35 ans, cette mme catgorie de vulnrabilits a perturb l’cosystme numrique.
La mthode la plus efficace pour rduire les vulnrabilits lies la scurit de la mmoire consiste scuriser l’un des lments constitutifs du cyberespace : le langage de programmation. L’utilisation de langages de programmation sans danger pour la mmoire peut liminer la plupart des erreurs de scurit de la mmoire. Bien que dans certaines situations particulires, l’utilisation d’un langage mmoire scurise puisse ne pas tre possible – ce rapport examine les systmes spatiaux comme un cas particulier et identifie le matriel mmoire scurise et les mthodes formelles comme des moyens complmentaires pour atteindre un rsultat similaire – dans la plupart des cas, l’utilisation d’un langage de programmation mmoire scurise est le moyen le plus efficace d’amliorer de manire substantielle la scurit des logiciels.
Langages de programmation sans risque pour la mmoire
tant donn que de nombreux problmes de cyberscurit commencent par une ligne de code, l’un des moyens les plus efficaces d’y remdier est d’examiner le langage de programmation lui-mme. Le fait de s’assurer qu’un langage de programmation comporte certaines proprits, telles que la scurit de la mmoire ou des types, signifie que les logiciels construits sur cette base hritent automatiquement de la scurit offerte par ces caractristiques.
Les solutions de cyberscurit doivent s’appuyer sur les meilleures pratiques d’ingnierie, et les fabricants de logiciels peuvent s’attaquer ce problme en utilisant systmatiquement des blocs de construction scuriss, notamment en adoptant des langages de programmation sans risque pour la mmoire. Il y a de fortes raisons de penser que le moment est venu de procder ces changements. Tout d’abord, des solutions techniques existent dj ; il y a des dizaines de langages de programmation mmoire scurise qui peuvent – et doivent – tre utiliss. Les fabricants de technologies sont dj en mesure de concevoir et de fabriquer de nouveaux produits dans des langages de programmation sans risque pour la mmoire ds le premier jour. Deuximement, le passage des langages de programmation sans risque pour la mmoire a un effet positif avr sur la cyberscurit. L’analyse de l’industrie a montr dans certains cas que, malgr des examens rigoureux du code et d’autres contrles prventifs et de dtection, jusqu’ 70 % des vulnrabilits de scurit dans les langages mmoire non scurise qui ont t corriges et ont reu une dsignation CVE sont dues des problmes de scurit de la mmoire. Lorsque de grandes bases de code sont migres vers un langage mmoire scurise, il est prouv que les vulnrabilits de scurit de la mmoire sont presque limines.
Pour les nouveaux produits, le choix d’un langage de programmation mmoire scurise est une dcision d’architecture prcoce qui peut apporter des avantages significatifs en matire de scurit. Mme pour les bases de code existantes, o une rcriture complte du code est plus difficile, il existe encore des moyens d’adopter des langages de programmation sans risque pour la mmoire en adoptant une approche hybride. Par exemple, les dveloppeurs de logiciels peuvent identifier les fonctions ou les bibliothques critiques sur la base de critres de risque et donner la priorit la rcriture de ces fonctions ou bibliothques.
La cration de nouveaux produits et la migration des codes hrits fort impact vers des langages de programmation sans risque pour la mmoire peuvent rduire de manire significative la prvalence des vulnrabilits lies la scurit de la mmoire dans l’ensemble de l’cosystme numrique. Certes, il n’existe pas de solution unique en matire de cyberscurit, et l’utilisation d’un langage de programmation sans risque pour la mmoire ne peut pas liminer tous les risques en matire de cyberscurit. Toutefois, il s’agit d’une mesure supplmentaire importante que les fabricants de technologies peuvent prendre pour liminer de vastes catgories de vulnrabilits logicielles. Un rapport rcent rdig par la CISA, la NSA, le FBI et des agences internationales de cyberscurit, intitul The Case for Memory Safe Roadmaps, fournit aux fabricants des conseils sur les mesures prendre pour liminer les vulnrabilits de leurs produits en matire de scurit de la mmoire.
Matriel mmoire scurise
En avril 1970, une explosion bord a fait drailler la mission Apollo 13 vers la Lune. Deux jours aprs le dbut du voyage des astronautes, un fil dnud a dclench un incendie et provoqu l’clatement d’un des deux rservoirs d’oxygne du vaisseau. Le seul espoir de survie des astronautes rsidait dans une raction ingnieuse – et rapide – de la part des scientifiques de la fuse. Utilisant les lois de la physique et les rgles des mathmatiques, les ingnieurs arospatiaux ont travaill rapidement et ont calcul la combustion d’un moteur par le module lunaire afin de placer Apollo 13 sur une trajectoire de retour vers la Terre.
Plus de cinquante ans plus tard, les ingnieurs arospatiaux et les dcideurs politiques n’ont pas laiss l’avenir de la scurit spatiale au hasard. Grce en grande partie aux progrs technologiques de l’informatique moderne et de l’ingnierie logicielle, l’automatisation numrique a minimis le risque d’erreur humaine, transfrant le fardeau des astronautes en orbite – et des spcialistes des fuses dans le centre de commandement – et garantissant que le vaisseau spatial est plus sr de par sa conception et, par consquent, plus sr pour son quipage. Dans le cas d’Apollo 13, la quasi-catastrophe a t cause par inadvertance par les lois de la physique, mais aujourd’hui, des adversaires tentent activement de saboter les systmes spatiaux. Aujourd’hui, alors que le cyberespace continue d’tre introduit dans l’espace extra-atmosphrique, le vaisseau spatial doit galement tre scuris de par sa conception. Une catastrophe ne doit pas tre le catalyseur de l’action.
L’cosystme spatial n’est pas l’abri des vulnrabilits en matire de scurit de la mmoire, mais il existe plusieurs contraintes dans les systmes spatiaux en ce qui concerne l’utilisation des langages. Premirement, le langage doit permettre au code d’tre proche du noyau afin qu’il puisse interagir troitement avec le logiciel et le matriel ; deuximement, le langage doit supporter le dterminisme afin que le timing des sorties soit cohrent ; et troisimement, le langage ne doit pas avoir – ou tre capable d’outrepasser – le « garbage collector », une fonction qui rcupre automatiquement la mmoire alloue par le programme informatique qui n’est plus utilise. Ces exigences permettent de garantir les rsultats fiables et prvisibles ncessaires pour les systmes spatiaux.
Selon les experts, les langages de programmation mmoire sre et mmoire non sre rpondent tous deux ces exigences. l’heure actuelle, les langages les plus utiliss qui satisfont ces trois proprits sont le C et le C++, qui ne sont pas des langages de programmation sans risque pour la mmoire. Rust, un exemple de langage de programmation sans risque pour la mmoire, possde les trois proprits requises ci-dessus, mais n’a pas encore fait ses preuves dans les systmes spatiaux. Des progrs supplmentaires en matire de chanes d’outils de dveloppement, de formation de la main-d’uvre et d’tudes de cas sur le terrain sont ncessaires pour dmontrer la viabilit des langages mmoire scurise dans ces cas d’utilisation. Dans l’intervalle, il existe d’autres moyens d’obtenir des rsultats l’chelle en utilisant des blocs de construction scuriss. Par consquent, pour rduire les vulnrabilits en matire de scurit de la mmoire dans l’espace ou dans d’autres systmes embarqus qui sont confronts des contraintes similaires, une approche complmentaire visant mettre en uvre la scurit de la mmoire par le biais du matriel peut tre explore.
La puce, en particulier, est un lment matriel important prendre en compte. Plusieurs efforts prometteurs sont actuellement en cours pour soutenir les protections de la mmoire par le biais du matriel. Par exemple, un groupe de fabricants a dvelopp une nouvelle extension de marquage de la mmoire (MTE) pour vrifier la validit des pointeurs vers les emplacements de mmoire avant de les utiliser. S’ils ne sont pas valides, le processeur produit une erreur. Cette technique est une mthode efficace pour dtecter les bogues de scurit de la mmoire, mais cette approche ne doit pas tre considre comme une solution complte pour prvenir tous les exploits de scurit de la mmoire. Un autre exemple de mthode matrielle est le CHERI (Capability Hardware Enhanced RISC Instructions). Cette architecture modifie la faon dont le logiciel accde la mmoire, dans le but d’liminer les vulnrabilits prsentes dans les langages historiquement peu srs pour la mmoire.
Mthodes formelles
Mme si les ingnieurs construisent avec des langages de programmation et des puces sans danger pour la mmoire, il faut penser aux vulnrabilits qui persisteront mme aprs que les fabricants de technologie auront pris des mesures pour liminer les classes les plus rpandues. Compte tenu de la complexit du code, les tests sont une tape ncessaire mais insuffisante du processus de dveloppement pour rduire totalement les vulnrabilits grande chelle. Si l’on dfinit l’exactitude comme la capacit d’un logiciel rpondre une exigence de scurit spcifique, il est possible de dmontrer l’exactitude l’aide de techniques mathmatiques appeles mthodes formelles. Ces techniques, souvent utilises pour prouver une srie de rsultats logiciels, peuvent galement tre utilises dans un contexte de cyberscurit et sont viables mme dans des environnements complexes comme l’espace. Bien que les mthodes formelles soient tudies depuis des dcennies, leur dploiement reste limit ; il est essentiel d’innover davantage dans les approches visant rendre les mthodes formelles largement accessibles afin d’acclrer leur adoption grande chelle. Ce faisant, les mthodes formelles peuvent servir d’outil puissant supplmentaire pour donner aux dveloppeurs de logiciels une plus grande assurance que des classes entires de vulnrabilits, mme au-del des bogues de scurit de la mmoire, sont absentes.
Bien qu’il existe plusieurs types de mthodes formelles couvrant un ventail de techniques et d’tapes du processus de dveloppement de logiciels, le prsent rapport met l’accent sur quelques exemples spcifiques. L’analyse statique solide examine les proprits spcifiques du logiciel sans excuter le code. Cette mthode est efficace parce qu’elle peut tre utilise pour de nombreuses reprsentations du logiciel, y compris le code source, l’architecture, les exigences et les excutables. Les vrificateurs de modles peuvent rpondre des questions sur un certain nombre de proprits de haut niveau. Ces algorithmes peuvent tre utiliss pendant la production ; toutefois, leur utilisation grande chelle est limite en raison de leur complexit informatique. Les tests bass sur des assertions sont une dclaration formelle des proprits prsentes dans le code qui peut tre utilise pour vrifier le code pendant les tests ou la production. Ces preuves gnres permettent de dtecter les dfauts beaucoup plus tt et plus prs du code erron, plutt que de remonter des dfaillances de systmes visibles de l’extrieur.
Les ingnieurs en logiciel peuvent utiliser ces techniques de deux manires, la fois pour les logiciels et le matriel. Premirement, les mthodes formelles peuvent tre incorpores directement dans la chane d’outils du dveloppeur. Lorsque le programmeur construit, teste et dploie le logiciel, le compilateur peut automatiser ces preuves mathmatiques et vrifier qu’une condition de scurit est remplie. En outre, le dveloppeur peut utiliser des composants de base formellement vrifis dans sa chane d’approvisionnement en logiciels. En choisissant des bibliothques logicielles dont la scurit est prouve, les dveloppeurs peuvent s’assurer que les composants qu’ils utilisent sont moins susceptibles de contenir des vulnrabilits.
Les mthodes formelles peuvent tre intgres tout au long du processus de dveloppement afin de rduire la prvalence de plusieurs catgories de vulnrabilits. Certaines technologies mergentes sont galement bien adaptes cette technique. Lorsque des questions se posent sur la scurit ou la fiabilit d’un nouveau produit logiciel, les mthodes formelles peuvent acclrer l’adoption par le march d’une manire que les mthodes traditionnelles d’essai des logiciels ne peuvent pas faire. Elles permettent de prouver la prsence d’une exigence positive, plutt que de tester l’absence d’une condition ngative.
Si le matriel mmoire scurise et les mthodes formelles peuvent constituer d’excellentes approches complmentaires pour attnuer les vulnrabilits non dcouvertes, l’une des mesures les plus efficaces que peuvent prendre les fabricants de logiciels et de matriel est l’adoption de langages de programmation mmoire scurise. Ils offrent un moyen d’liminer, et pas seulement d’attnuer, des classes entires de bogues. Il s’agit l d’une opportunit remarquable pour la communaut technique d’amliorer la cyberscurit de l’ensemble de l’cosystme numrique.
PARTIE III : RSOUDRE LE PROBLME DE LA MESURABILIT DES LOGICIELS
Pour progresser dans la scurisation de l’cosystme numrique, il est ncessaire de rorienter les incitations afin de favoriser les investissements long terme. Pour que ce ralignement entrane un changement de comportement l’chelle de l’cosystme, il est essentiel de mettre au point des mesures empiriques permettant d’valuer la qualit des logiciels en matire de cyberscurit. Cela permettra d’clairer les dcisions des producteurs et des consommateurs, ainsi que les efforts d’laboration des politiques publiques. Les travaux en cours visant amliorer la comprhension de la qualit et de la scurit des logiciels, y compris la divulgation coordonne des vulnrabilits, les programmes de rponse et les enregistrements CVE en temps utile, contribuent la prise de dcisions essentielles dans l’ensemble de l’cosystme. Nanmoins, des progrs supplmentaires sont ncessaires pour dvelopper des mesures empiriques permettant d’valuer efficacement le code.
La mesurabilit des logiciels est l’un des problmes de recherche ouverte les plus difficiles rsoudre ; en fait, les experts en cyberscurit sont aux prises avec ce problme depuis des dcennies. Ce problme ncessite non seulement d’affiner les mesures ou les outils existants, mais aussi d’ouvrir une nouvelle frontire dans le domaine de l’ingnierie logicielle et de la recherche en cyberscurit. En amliorant les capacits de mesure et d’valuation de la scurit des logiciels, il est possible d’anticiper davantage de vulnrabilits et de les attnuer avant la mise sur le march des logiciels. Les paramtres labors partir de ces mesures claireront galement la prise de dcision d’un large ventail de parties prenantes, amliorant ainsi la scurit de l’cosystme numrique et encourageant les investissements long terme dans le dveloppement de logiciels scuriss.
Les dfis de la mesurabilit des logiciels
En 2016, le groupe charg de la qualit des logiciels au National Institute of Standards and Technology (NIST) des tats-Unis a organis un atelier pour tudier les amliorations apporter aux mesures et aux paramtres des logiciels, dans le but de rduire considrablement les vulnrabilits des logiciels. Les conclusions de cet atelier ont soulign la nature multidimensionnelle du problme de la mesurabilit des logiciels et ont identifi trois dfis fondamentaux : la mtrologie des logiciels, le comportement des logiciels et l’analyse des logiciels.
Premirement, le dfi inhrent la mtrologie des logiciels – la science de la mesure des logiciels – dcoule du fait que les logiciels ne sont pas seulement une construction technique, mais aussi une forme d’expression humaine. Contrairement aux produits d’ingnierie physique, la plupart des logiciels n’ont pas de structure ou de composition uniforme. Cette htrognit dans la conception et l’architecture rend la dfinition de la qualit de la cyberscurit trs subjective et dpendante du contexte, ce qui complique l’tablissement de mesures universelles.
Deuximement, le comportement des logiciels dans diverses conditions peut ne pas tre entirement dterministe. Si certains intrants et processus peuvent conduire de manire prvisible des rsultats spcifiques, le comportement global des systmes logiciels complexes chappe souvent cette prvisibilit. En outre, les logiciels ne se conforment pas ncessairement des distributions probabilistes, ce qui rend difficile l’application de modles statistiques ou de prdictions couramment utiliss dans d’autres domaines. Cette imprvisibilit entrave la capacit mesurer de manire fiable et cohrente la performance et la scurit des logiciels.
Troisimement, la difficult d’analyser les logiciels aggrave le problme. L’analyse des logiciels pour valuer leur qualit en matire de cyberscurit est limite par ce qui peut tre quantifi. Les mthodes traditionnelles, comme le comptage des vulnrabilits connues, sont insuffisantes et ne donnent pas ncessairement une ide des menaces ou des vecteurs d’attaque futurs. La nature dynamique et volutive du dveloppement des logiciels et des cybermenaces signifie que ce qui est mesur aujourd’hui ne sera peut-tre plus pertinent demain, ce qui fait de l’laboration de mesures prospectives et prdictives une tche ardue.
Ces dfis sont considrables, mais la communaut des chercheurs devrait se pencher nouveau sur ce problme difficile. Le plan stratgique fdral de recherche et de dveloppement en matire de cyberscurit, rcemment publi, souligne galement que la mesurabilit des logiciels est une priorit de recherche pour l’administration Biden-Harris. Le fait d’attirer davantage l’attention de la communaut des chercheurs sur cette question jettera les bases de l’identification et du dveloppement de mesures de la qualit des logiciels en matire de cyberscurit. Cela pourrait permettre de crer des mesures prcieuses qui combleraient un manque d’information important. Si ces mesures sont utiles pour les dveloppeurs de logiciels qui cherchent scuriser leur code, elles ont galement des implications considrables pour l’ensemble de l’cosystme de la cyberscurit.
Applications des mesures de la qualit de la cyberscurit
En dcembre 2021, la dcouverte d’une vulnrabilit dans Log4j, une bibliothque open-source de journalisation Java omniprsente, a mis en vidence une faiblesse critique par laquelle des acteurs malveillants pouvaient compromettre des systmes informatiques dans le monde entier. Les gouvernements, les entreprises multinationales et les oprateurs d’infrastructures critiques se sont prcipits pour valuer l’tendue de leur exposition. Cette vulnrabilit a mis en vidence la ncessit d’assurer la scurit de l’cosystme des logiciels open-source, qui favorise l’innovation dans le monde entier. Connue sous le nom de « Log4Shell », elle a mis en lumire une vrit malheureuse en matire de cyberscurit : mesurer titre prventif la qualit des logiciels en matire de cyberscurit reste une tche herculenne.
L’cosystme des logiciels open-source offre une toile de fond unique pour l’examen de la mesure des logiciels. Les logiciels open-source sont omniprsents dans le matriel et les logiciels de presque tous les secteurs conomiques, ce qui pose toute une srie de problmes de scurit. La nature accessible et transparente des logiciels open-source en fait galement un excellent environnement pour l’application de la mesure des logiciels et le dveloppement de mesures de la qualit de la cyberscurit qui en dcoule.
Si elles sont mises au point, des mesures robustes des logiciels pourraient amliorer la capacit valuer la qualit de la cyberscurit. En quantifiant ce qui tait auparavant qualitatif, la prcision et l’objectivit de l’valuation des logiciels sont amliores. Cela permet de comprendre de manire plus nuance o et comment la cyberscurit peut tre amliore.
Avec une mesure efficace de la qualit, le prochain progrs rside dans le contrle continu de cette mtrique. Au lieu d’valuations ponctuelles de la cyberscurit, les logiciels peuvent tre valus de manire dynamique. Cette avance permettrait de suivre le rythme d’un environnement o les menaces mergent et voluent constamment, et o les logiciels eux-mmes sont dans un tat de dveloppement et de perfectionnement perptuel.
L’valuation de la scurit des logiciels peut se faire l’aide de mtriques dans un rcit visuel de la scurit des logiciels. Le pouvoir de la visualisation pour transmettre des donnes complexes est bien connu et, dans le contexte de la cyberscurit, il s’avre inestimable. Avec un graphique de qualit, les tendances et les modles qui auraient pu rester obscurs dans des tableaux de donnes deviendraient plus comprhensibles.
Enfin, la visualisation des tendances en matire de qualit et l’utilisation d’une fonction mathmatique approprie pour ajuster les donnes permettent d’obtenir des mesures supplmentaires. Un driv potentiel – le taux de rponse – montre le taux de variation de l’indicateur de qualit de la cyberscurit. Ce type de mesure drive permet de mieux comprendre le profil de scurit du logiciel. Par exemple, un taux de rponse rapide aux vulnrabilits mergentes indiquerait que l’diteur du logiciel est proactif et digne de confiance.
L’application de mesures de la qualit de la cyberscurit marque un changement dans la manire d’aborder et de comprendre la scurit des logiciels. Il s’agit de passer d’une valuation subjective une prcision objective, d’instantans statiques des tendances dynamiques, et de donnes diffuses des informations exploitables. Lorsqu’ils sont appliqus l’cosystme des logiciels open-source, il est facile d’imaginer l’impact qui en rsultera, comme l’utilisation de ces mesures pour identifier une bibliothque open-source dont la qualit de cyberscurit est mdiocre et dcider d’utiliser un composant plus sr la place.
Modifier les forces du march pour amliorer la qualit de la cyberscurit
Recadrer le dbat sur la cyberscurit en passant d’une approche ractive une approche proactive permet de dplacer l’attention des dfenseurs de premire ligne vers le large ventail d’individus qui ont un rle important jouer dans la scurisation de l’cosystme numrique. Pendant trop longtemps, la responsabilit premire de la cyberscurit d’une organisation a incomb au responsable de la scurit de l’information (RSSI) de l’entreprise qui utilisait le logiciel. Il ne peut tre la seule partie prenante responsable des rsultats en matire de cyberscurit ; il est galement essentiel, par exemple, que le directeur des systmes d’information (DSI) qui achte les logiciels et le directeur des technologies (CTO) des fabricants qui conoivent les logiciels partagent cette responsabilit. Une mesure de la qualit de la cyberscurit pourrait amliorer la prise de dcision en collaboration entre toutes les parties.
En naviguant dans le paysage complexe de la recherche sur la mesurabilit des logiciels, il y a trois dimensions fondamentales au risque que les logiciels posent la cyberscurit d’une organisation : le processus de dveloppement, l’analyse et le test des logiciels, et l’environnement d’excution. En ce qui concerne le dveloppement d’une mesure de la qualit, les deux premires dimensions refltent fondamentalement le logiciel lui-mme et sont celles o les choix architecturaux et de conception jouent le rle le plus important dans l’amlioration de la scurit. Ce sont galement les dimensions qui resteront statiques travers tous les dploiements d’une version du logiciel. La comprhension de ces trois dimensions peut clairer la manire dont les mesures de la qualit de la cyberscurit peuvent tre utilises dans l’ensemble de l’cosystme.
Les directeurs techniques des fabricants de logiciels et les directeurs informatiques des utilisateurs de logiciels sont les mieux placs pour prendre des dcisions sur la qualit intrinsque des logiciels et sont donc probablement les plus intresss par les deux premires dimensions du risque de cyberscurit. Dans la premire dimension, le processus de dveloppement du logiciel, la qualit de l’quipe de dveloppement joue un rle crucial. Les quipes bien formes et exprimentes, dotes d’exigences claires et ayant l’habitude de crer des logiciels robustes prsentant un minimum de vulnrabilits, suscitent une plus grande confiance dans les logiciels qu’elles produisent. Les comptences et les antcdents de l’quipe de dveloppement sont des gages de fiabilit, ce qui donne penser que les logiciels conus grce leur expertise ont plus de chances d’tre srs et moins sujets des vulnrabilits. Un directeur technique peut prendre des dcisions sur la manire de recruter ou de structurer des quipes de dveloppement internes afin d’amliorer les paramtres de qualit de la cyberscurit associs aux produits dvelopps par l’organisation, et un DSI peut prendre des dcisions en matire d’achats en fonction de sa confiance dans les pratiques de dveloppement d’un fournisseur.
La deuxime dimension que les directeurs techniques et les directeurs informatiques pourraient prendre en compte est l’analyse du produit logiciel. Avec de meilleures mesures, les directeurs techniques pourraient utiliser une srie de mthodes d’analyse rigoureuses – telles que les revues de code, les tests d’acceptation et les mthodes formelles – pour s’assurer que les vulnrabilits d’un logiciel seront rares. Un DSI pourrait fonder sa dcision d’achat en grande partie sur les rsultats d’un produit logiciel en termes de qualit, persuad que son adoption prsentera moins de risques pour l’organisation.
Le RSSI d’une organisation se concentre principalement sur la scurit des systmes d’information et de technologie de l’organisation. Bien que cette personne soit intresse par les trois dimensions du risque de cyberscurit des logiciels, elle a moins de contrle direct sur les logiciels utiliss dans son environnement. C’est pourquoi les RSSI s’intressent surtout la troisime dimension : un environnement d’excution rsilient. En excutant le logiciel dans un environnement contrl et restreint, tel qu’un conteneur avec des privilges systme limits, ou en utilisant l’intgrit du flux de contrle pour surveiller un programme en cours d’excution afin de dtecter les carts par rapport au comportement normal, il est possible de limiter considrablement les dommages potentiels causs par les vulnrabilits exploites. Cette mthode n’limine pas les vulnrabilits mais attnue plutt leur impact, servant de filet de scurit potentiel en cas d’exploitation. tant donn que le RSSI ne peut pas toujours dcider des technologies et des capacits de scurit avec lesquelles il travaille, cette dimension pourrait influencer la priorit accorde par un RSSI aux mesures d’attnuation des risques pour un logiciel dont la qualit en matire de cyberscurit pose problme.
Bien que l’administration Biden-Harris ait pris des mesures importantes pour inciter le march corriger les vulnrabilits connues, notamment le dcret 14028, les utilisateurs sont toujours confronts des risques de cyberscurit lis leurs logiciels en raison du manque d’informations susceptibles de rduire les vulnrabilits futures – en les empchant de se produire, en les dtectant avant qu’elles ne soient exploites ou en rduisant leur impact. Les fabricants de logiciels ne sont pas suffisamment incits consacrer des ressources appropries des pratiques de dveloppement sres, et leurs clients n’exigent pas des logiciels de meilleure qualit parce qu’ils ne savent pas comment la mesurer. Sur le plan oprationnel, les organisations ne prennent pas suffisamment de mesures pour attnuer le risque li aux logiciels de mauvaise qualit parce qu’elles ne sont pas conscientes de ce risque et qu’elles n’ont souvent pas les moyens de l’attnuer mme si elles en sont conscientes.
De meilleures mesures de la qualit de la cyberscurit changent l’quation car elles permettent de prendre des dcisions fondes sur des donnes tout au long de la chane d’approvisionnement. Si les responsables techniques, tels que le directeur technique, le directeur des systmes d’information et le responsable de la scurit informatique, jouent un rle dterminant dans la mise en uvre de cette vision, la qualit de la cyberscurit doit galement tre considre comme un impratif commercial dont le directeur gnral et le conseil d’administration sont responsables en dernier ressort. La rsolution du problme de la mesurabilit des logiciels permettrait de raliser pleinement l’utilit de cette mesure, en comblant une lacune vitale en matire d’information et en encourageant les investissements long terme dans la scurit des logiciels. Cela permettrait tous les acteurs de l’cosystme de voir leur retour sur investissement ou de comprendre clairement le risque d’un produit de moindre qualit.
PARTIE IV : CONCLUSION
L’limination de classes entires de vulnrabilits logicielles est un problme urgent et complexe. l’avenir, de nouvelles approches doivent tre adoptes pour attnuer ce risque. Cela permettra aux tats-Unis de continuer progresser vers la vision affirme du prsident Biden d’un cyberespace sr et rsilient.
La communaut technique est essentielle ce progrs. En adoptant des langages de programmation mmoire scurise, les crateurs de logiciels et de matriel peuvent mieux scuriser les lments constitutifs du cyberespace et liminer de manire proactive des catgories entires de bogues. En se ralliant au problme difficile et complexe de la mesurabilit des logiciels, la communaut des chercheurs peut mettre au point de meilleures mesures de la qualit de la cyberscurit afin d’inciter les consommateurs, les fabricants et les dcideurs prendre de meilleures dcisions dans l’ensemble de l’cosystme. Ces efforts seront audacieux et de longue haleine et ncessiteront une attention soutenue et l’tablissement de priorits. Le moment est venu de commencer ce travail.
Pour parvenir cette vision, il faut reconnatre que la nation donne le meilleur d’elle-mme lorsque les Amricains travaillent ensemble. C’est une voie qui ncessite la convergence des initiatives gouvernementales, de l’innovation du secteur priv et de la recherche universitaire de pointe. Travailler ensemble pour liminer de manire proactive les vulnrabilits des logiciels allge le fardeau de ceux qui sont le moins mme de le supporter et permet aux cyberdfenseurs de premire ligne de se tourner vers l’avenir. La dfinition d’une cyberscurit de qualit permet de raligner les incitations et de donner confiance dans ce que le cyberespace peut tre. Ensemble, ces forces collaboratives continueront nous propulser vers un avenir o le cyberespace sera sr, rsilient et digne de confiance, incarnant les valeurs amricaines fondamentales et ne cdant pas l’animosit de nos adversaires. Comme le dit souvent le prsident Biden, « nous sommes les tats-Unis d’Amrique et il n’y a rien, rien qui dpasse notre capacit si nous le faisons ensemble« .
Source : Back to the Building Blocks: A Path Toward Secure and Measurable Software
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :