Fondamentaux PSIRT

Depuis l’émergence d’internet à la fin des années 1980, la menace de cyberattaques ne cesse de grandir. La sécurité informatique a d’abord concerné la protection des réseaux et des infrastructures avec la création de Computer Incident Response Team (CSIRT). Puis, l’explosion du web a entraîné la diversification des produits informatiques. De nouvelles vulnérabilités sont ainsi apparues.

Pour protéger leurs logiciels, leurs machines ou leurs services, les entreprises ont créé les Product Security Incident Response Team (PSIRT). Ce sont des équipes dédiées à la sécurité de chaque produit et à la réponse aux incidents liés à sa vulnérabilité. Internes ou externes à l’entreprise, les PSIRT sont devenus indispensables à la cybersécurité. Découvrez leur rôle, leurs missions et leur fonctionnement.

En quoi consiste une PSIRT et quel est son travail ?

Le travail d’une équipe de Product Security vise à prévenir et à réduire toute forme de vulnérabilité. 

La vulnérabilité des produits : un enjeu majeur en entreprise

La vulnérabilité d’un produit informatique n’est pas liée à la notion de qualité. Un défaut de qualité survient dans certaines conditions d’utilisation. Il altère le potentiel de fonctionnement du produit. Il n’y a pas d’exploitation frauduleuse.

Mais, une vulnérabilité, c’est une faille involontaire de sécurité exploitable par un cyber attaquant. Cette exploitation criminelle volontaire peut compromettre l’intégrité ou la confidentialité d’un logiciel, d’un système ou d’une application. Les enjeux sont considérables lorsque ceux-ci sont liés au système d’information des entreprises.

L’objectif d’un PSIRT face aux vulnérabilités

Pour lutter contre les cybermenaces, les PSIRT sont chargés de recevoir, d’analyser, de corriger et de communiquer sur les vulnérabilités découvertes dans les produits. Selon les entreprises, leur rôle consiste également à coordonner la réponse à l’incident avec les partenaires internes et/ou externes : développeurs, clients et fournisseurs.

Exemple du PSIRT de l’entreprise Microsoft pour protéger ses produits

Microsoft crée son PSIRT suite à l’attaque de son produit Microsoft IIS (serveur web) par un ver informatique (Code Red). Découvert en juillet 2001, Code Red a infecté près de 300 000 serveurs dans le monde utilisant le logiciel IIS1.

Depuis, Microsoft a standardisé un processus de traitement des vulnérabilités et des incidents liés à ses produits dans le monde entier. L’entreprise développe désormais des outils et des ressources pour soutenir le travail du PSIRT :

  • le Microsoft Security Response Center (MSRC), un centre pour coordonner les actions du PSIRT ;
  • le Microsoft Security Update Validation Program (SUVP), un support pour tester les mises à jour de sécurité ;
  • le Security Development Lifecycle (SDL), un processus pour prévenir les vulnérabilités dès la conception d’un produit.

Quelles sont les principales responsabilités d’un PSIRT ?

Les responsabilités dévolues aux PSIRT sont variées selon les entreprises et leur organisation. Mais, le cœur de leur mission repose sur quatre grandes responsabilités.

Informer et former sur les vulnérabilités des produits de l’entreprise

Les incidents de sécurité représentent un coût financier et nuisent à la réputation des entreprises informatiques. Pour prévenir la propagation d’une cyberattaque, le PSIRT a pour vocation d’informer en interne l’équipe développement sur le vulnerability scanning. Il forme également les développeurs à intégrer la cybersécurité dès la conception du produit ou du service. 

Recevoir et analyser les informations sur les vulnérabilités des produits

Les équipes de Security Product encouragent les utilisateurs à signaler toutes les failles détectées. Sur le site web de l’entreprise, dans ses accompagnements ou dans son support produit, elles précisent les informations à communiquer pour signaler une vulnérabilité : 

  • famille de produits ;
  • version vulnérable ;
  • type de vulnérabilité (identification CVE) ;
  • composant ;
  • etc.

 

Coordonner la recherche de solutions et répondre à la vulnérabilité du produit

Les experts du PSIRT collaborent avec les développeurs pour élaborer et tester des solutions de correction. Celles-ci peuvent prendre la forme de mises à jour, de correctifs, de bulletins de sécurité ou d’advisories (avis, conseils).

Communiquer les informations relatives aux vulnérabilités des produits

Le service Product Security partage ses informations avec les clients, avec les fournisseurs, avec les médias et avec ses homologues du marché. Il informe également le CERT et les autorités de régulation concernées. Il communique à l’ensemble de ces organisations les mesures prises et les recommandations à suivre.

Quel est le rôle essentiel des PSIRT dans la sécurité des produits ?

Le rôle essentiel des PSIRT consiste à protéger l’ensemble des utilisateurs des produits et des services de l’entreprise contre les vulnérabilités et les incidents de sécurité. Ils agissent pour réduire leur nombre, leur gravité et leurs conséquences. Ils suivent un processus de prévention, de détection, de correction puis de communication. Leur travail contribue ainsi à la réputation de leur entreprise.

Quels sont les avantages de l’existence d’un PSIRT dans une organisation ?

Une société peut intégrer en interne la prévention et la gestion des failles ou s’appuyer sur des compétences externes (consultants en sécurité informatique). Mais, il existe des avantages clés pour déployer une vulnerability team en interne.

Intégration de la sécurité dans tout le cycle de développement du produit

Des experts internes sont les plus à même d’accompagner la sécurité des produits dès leur conception. Ils accompagnent la mise en place de leur cycle de développement sécurisé (SDL ou SDLC) : intégration des exigences de sécurité, conception, développement, tests, ajustements, suivi.

Mobiliser les ressources nécessaires pour trouver des solutions aux vulnérabilités des produits

Un PSIRT interne dispose d’une légitimité supérieure pour la gestion des incidents détectés. Il a une capacité de mobilisation des acteurs concernés par les problèmes détectés. La coordination existe déjà entre les équipes. C’est un gain de réactivité important dans une situation de crise. 

Cohérence des méthodes de travail dans un système complexe de sécurité

La croissance des entreprises informatiques complexifie l’organisation de la sécurité informatique. Elles sont implantées dans le monde entier et elles commercialisent des gammes de plus en plus larges. Une entité interne PSIRT permet de promouvoir des méthodes de travail cohérentes. Grâce à son PSIRT, l’entreprise CISCO développe ainsi des standards de sécurité pour toutes ses activités.

Comment les PSIRT gèrent-ils les incidents de sécurité ?

Une vulnerability team suit en général une démarche en quatre étapes pour gérer une faille de sécurité.

Découverte d’une menace

Une entreprise découvre une vulnérabilité selon trois modes. 

  • La faille est découverte en interne par les développeurs.
  • Un tiers externe (client, un chercheur, un partenaire ou un consultant) signale une faille directement à la société informatique.
  • L’entreprise découvre une vulnérabilité dans un forum spécialisé de type Bugtraq ou VulnDev.

Analyse de la menace

L’équipe de sécurité signale la menace aux développeurs. Ceux-ci procèdent à une vérification. Ils travaillent avec le rapporteur de la faille pour recueillir toutes les données techniques nécessaires. Après analyse, la menace est alors confirmée. Son niveau de gravité est mesuré avec le système commun de notation CVSS.

Correction de la vulnérabilité

Les développeurs déterminent le type de correctif à appliquer. Ils planifient la date de sortie des corrections. Ils travaillent avec l’assistance du PSIRT et avec toutes les ressources nécessaires pour déployer une solution rapidement.

Divulgation de la vulnérabilité

Le PSIRT choisit de divulguer le problème détecté sur les canaux de communication adaptés : forum, médias, site web de l’entreprise et advisories sur les flux RSS. Il peut communiquer le nom du rapporteur de la faille dans sa publication. Enfin, il peut enregistrer la vulnérabilité dans la base de connaissance MITRE ATT&CK avec des identifiants CVE.

Comment les entreprises peuvent-elles mettre en place leur propre PSIRT ?

Selon les organisations, il existe trois formes de PSIRT.

Le modèle à responsabilités partagées

La Product Security Incident Response Team représente ici une petite entité. Elle partage ses missions avec les responsables des différentes équipes de développeurs. L’avantage de ce modèle, c’est le partage des coûts de fonctionnement entre les parties prenantes. Et cette organisation facilite la diffusion d’une culture de cybersécurité dans les entreprises.

Le modèle centralisé

Le PSIRT centralisé dispose de plusieurs équipes spécialisées. Chaque entité gère les menaces par gamme. Ce modèle fonctionne bien dans les sociétés informatiques dotées de gammes homogènes. La centralisation de l’expertise impose un niveau constant de compétences en matière de cybersécurité

Le modèle hybride

Le modèle hybride représente un compromis intéressant. D’une part, il permet à une société de s’appuyer sur la spécialisation des responsables de gamme. Et d’autre part, ce modèle permet de bénéficier d’un pôle central d’experts de référence. C’est un mode d’organisation adapté à un portefeuille diversifié.

Comment les PSIRT collaborent-ils avec d’autres acteurs de la sécurité ?

Les cyberattaques représentent une menace commune pour les sociétés informatiques et les utilisateurs. Les PSIRT ont donc besoin de travailler avec les différents acteurs de la cybersécurité. Voici des exemples de partenaires :

  • les plateformes de référencement des menaces informatiques comme le CERT-vde pour les industriels ;
  • les organisations gouvernementales comme le CERT-FR, le Computer Emergency Response Team gouvernemental de la France ;
  • les chercheurs indépendants (universités, consultants) ;
  • les vulnerability teams des autres sociétés.

Quels sont les défis actuels et futurs auxquels les PSIRT sont confrontés ?

Les équipes de Product Security doivent relever plusieurs défis. Elles doivent pouvoir recruter des experts formés pour gérer les menaces actuelles et futures. Ces équipes sont également confrontées au défi de la réactivité pour éviter l’exploitation et la propagation des incidents. Enfin, les experts PSIRT doivent apprendre à coopérer malgré les enjeux économiques qui pèsent sur les sociétés informatiques. 

Le PSIRT représente donc une réponse structurée aux vulnérabilités des produits. La méthodologie employée et la coopération entre experts permettent de réduire l’exploitation des failles de sécurité.