Publier une CVE : Guide pour les éditeurs de logiciels

Le développement interne de solutions logicielles permet aux entreprises de répondre à leurs besoins spécifiques sans avoir recours à des solutions tierces. Cependant, cette autonomie implique également des responsabilités, notamment en matière de sécurité. Les éditeurs doivent intégrer des mesures de gouvernance dès la conception de leurs systèmes d’information, ce qui inclut la mise en œuvre d’un Système de Management de la Sécurité de l’information (SMSI). Ce dernier doit être attentif aux potentielles vulnérabilités présentes dans leurs logiciels.

Quelles vulnérabilités nécessitent une publication ?

Les identifiants CVE (Common Vulnerabilities and Exposures) ne sont attribués qu’aux failles de sécurité qui répondent à des critères spécifiques. Il est crucial de garantir qu’une correction peut être apportée indépendamment d’autres vulnérabilités et qu’aucune solution de contournement n’est disponible. Il faut aussi reconnaître publiquement que cette vulnérabilité affecte la sécurité de vos produits.

Comprendre le fonctionnement des autorités de numérotation des CVE (CNA)

Les CNA sont responsables de l’attribution des numéros CVE. Lorsqu’une vulnérabilité est détectée, l’éditeur doit soumettre une demande à une CNA pour obtenir un numéro d’identification. Une fois la demande validée, la vulnérabilité est publiée. MITRE Corporation supervise l’ensemble du programme CVE et maintient un registre des vulnérabilités publiées à l’échelle internationale.

Choisir une autorité de numérotation des CVE

Il est essentiel de noter que vous ne pouvez pas divulguer une vulnérabilité à n’importe quelle CNA. Chaque autorité a une portée spécifique, que ce soit par type de produit ou par région. Par exemple, la CNA d’Apple se concentre uniquement sur les vulnérabilités des produits Apple. Pour identifier la CNA appropriée, consultez la liste fournie par MITRE, en veillant à prendre en compte votre région et le type de produit concerné.

Les étapes clés du processus de publication d’une vulnérabilité

Tout au long du processus de publication, il est crucial de respecter vos obligations réglementaires, notamment en matière de protection des données personnelles. Conservez des traces de toutes les communications et de la documentation liée à la gestion des vulnérabilités.

Informations requises par l’autorité de numérotation

Pour signaler une vulnérabilité, vous devez fournir des détails sur le produit concerné, la nature de la vulnérabilité, ainsi que son impact potentiel. Il est également nécessaire de soumettre un lien ou une référence publique qui résume vos connaissances sur la vulnérabilité.

Statuts de la demande de publication

Lors de la demande de publication, la CNA attribue un numéro d’identification à la CVE. Tant que vous n’avez pas fourni toutes les informations requises, votre identifiant est classé comme « Attribué » puis « Réservé ». Si la vulnérabilité n’est pas confirmée, elle peut être rejetée. En revanche, si elle est validée, l’identifiant sera publié.

Pour conclure

La publication des vulnérabilités dans une solution logicielle nécessite une procédure formalisée. Cela permet de réagir rapidement en cas de découverte d’une faille de sécurité. En intégrant cette procédure dans un ensemble de politiques de gestion des incidents, vous assurez une bonne gouvernance de votre SMSI.

Pour plus d’informations sur des sujets connexes, n’hésitez pas à consulter des articles sur la cybersécurité et la conformité réglementaire au RGPD.

Si vous souhaitez réserver une consultation pour discuter de vos besoins en cybersécurité, vous pouvez le faire gratuitement et sans engagement. Comparer vos options vous permettra d’anticiper les coûts et d’éviter les frais inutiles.