Le NCSC lance une nouvelle boîte à outils de rapport de vulnérabilité
Français
Le National Cyber Security Center (NCSC) du Royaume-Uni a publié un nouveau «Vulnerability Reporting Toolkit», destiné à aider les organisations à gérer leurs processus de divulgation de vulnérabilité de manière simplifiée. La boîte à outils est utile pour tous les types d’organisations qui prévoient de mettre en œuvre un processus de divulgation de vulnérabilité dans leur système. Il fournit un guide complet pour développer un programme de divulgation qui a été construit sur la base de trois composants essentiels, qui incluent Communication, Policy et Security.txt.
«Les vulnérabilités de sécurité sont découvertes en permanence et les gens veulent pouvoir les signaler directement à l’organisation responsable. La boîte à outils de divulgation des vulnérabilités du NCSC contient les éléments essentiels dont vous avez besoin pour mettre en place votre propre processus de divulgation des vulnérabilités », a déclaré le NCSC dans un communiqué.
Importance du rapport de vulnérabilité
Les rapports de vulnérabilité des chasseurs de bogues fournissent des informations critiques sur les vulnérabilités existantes dans les systèmes qui peuvent être utilisées pour résoudre les problèmes et améliorer l’état de sécurité. «Avoir un processus de reporting clairement balisé démontre que votre organisation prend la sécurité au sérieux. En fournissant un processus clair, les organisations peuvent recevoir les informations directement afin de remédier à la vulnérabilité et de réduire le risque de compromission. Ce processus réduit également les atteintes à la réputation de la divulgation publique en fournissant un moyen de faire des rapports et une politique définie sur la façon dont l’organisation répondra », a ajouté le NCSC.
Comment répondre aux rapports de vulnérabilité
Le NCSC a recommandé certaines étapes pour répondre efficacement à un rapport de vulnérabilité, notamment:
- N’ignorez pas le rapport. Répondez rapidement au chercheur (chasseur de bogues) et remerciez-le. Les commentaires encouragent l’engagement et ils seront plus enclins à vous aider à nouveau à l’avenir.
- Transmettez le rapport à une personne de votre organisation responsable du produit ou du service concerné. S’il est géré par un tiers, discutez du rapport avec lui.
- Évitez de forcer le chercheur à signer des documents tels qu’un accord de non-divulgation (NDA) car l’individu cherche simplement à s’assurer que la vulnérabilité est corrigée.
- Si vous avez besoin de plus d’informations pour confirmer et résoudre le problème, vous devez poliment demander ces informations supplémentaires au chercheur.
- Une fois que vous avez décidé de la marche à suivre, informez le chercheur que le problème est géré. Vous n’avez pas besoin de fournir beaucoup d’informations techniques ou de vous engager à respecter des délais.
- Si le problème prend du temps à être résolu, vous devez renvoyer des mises à jour périodiques au Finder.
- Une fois le problème résolu, informez le chercheur. Ils pourront peut-être tester à nouveau le problème pour confirmer le correctif.
- Envisagez de reconnaître et de remercier publiquement le chercheur, car cela crée un sentiment de confiance et de transparence.
«La boîte à outils n’est pas une réponse globale à la divulgation des vulnérabilités. Si vous ne disposez pas d’un processus de divulgation des vulnérabilités, la boîte à outils peut vous aider à en créer un. Nous pensons qu’il vaut la peine d’établir un processus à l’avance. La boîte à outils est volontairement facile à mettre en œuvre, vous pouvez donc l’adopter à bref délai. Même si vous avez déjà un processus en place, jetez un œil à la boîte à outils, car elle peut vous aider à améliorer ce que vous avez déjà mis en place », a conclu le NCSC.
Pour aider à prévenir les cyberattaques croissantes, les rapports sur la vulnérabilité seront intégrés dans le cadre législatif du gouvernement britannique, ce qui obligera les fabricants d’appareils intelligents à fournir un point de contact public dans le cadre d’une politique de divulgation des vulnérabilités.
