Le système de notation de vulnérabilité de la FDA prouve que tous les risques ne sont pas créés égaux

  • FrançaisFrançais


  • La Food and Drug Administration a ajouté cette semaine un nouveau système de classification des vulnérabilités conçu spécifiquement pour les dispositifs médicaux à sa liste d’outils de développement de dispositifs médicaux (MDDT) – en lui donnant essentiellement un vote final d’approbation en tant que métrique scientifiquement valide.

    C’est un mouvement attendu depuis longtemps. La nouvelle rubrique, développée pour la FDA par MITRE, a été publiée pour la première fois l’année dernière et met l’accent sur le risque pour les patients plutôt que sur la facilité et la portée de l’exploitation. Le concept a été salué par les vendeurs, les régulateurs et les chercheurs comme une approche qui met l’accent sur l’importance d’un langage commun pour le risque dans le processus de divulgation. Et, disent-ils, c’est un modèle dans lequel d’autres secteurs pourraient vouloir investir.

    Si vous deviez le décomposer en une équation mathématique, le risque est un impact multiplié par la probabilité. Si quelque chose est extrêmement susceptible de se produire, c’est probablement un risque élevé. La mesure traditionnelle de la menace d’une vulnérabilité, le Common Vulnerability Scoring System, est largement basée sur la probabilité que quelqu’un puisse exploiter quelque chose.

    Cependant, CVSS n’a pas été conçu pour mesurer la profondeur de l’impact qu’un instrument médical vulnérable pourrait avoir. Quelqu’un piratant un stimulateur cardiaque peut les tuer. Même s’il s’agit d’une faible probabilité, l’impact est inacceptable. Mais sans une métrique commune, il est presque impossible pour les chercheurs et les fournisseurs de discuter de l’impact d’une vulnérabilité.

    «Souvent, il y a beaucoup de va-et-vient sur ce que signifie une vulnérabilité», a déclaré Penny Chase, scientifique principale au MITRE qui a travaillé sur la rubrique.

    La nouvelle rubrique, traitée comme un complément à CVSS, prend en compte tous les risques.

    Le MITRE a publié sa première version de la métrique en janvier 2019. Mais, sans la décision MDDT de la FDA, Elad Luz, responsable de la recherche chez CyberMDX, a soumis cette année des vulnérabilités aux fabricants d’appareils et s’est vu refuser le nouveau système de notation.

    «Les vendeurs ont rejeté la rubrique comme ébauche. Mais maintenant, je pense qu’ils l’accepteront », a déclaré Luz.

    La FDA, note Chase, est réticente à publier de nouvelles exigences pour dire aux entreprises comment faire quelque chose. Cependant, l’annonce de l’acceptation d’un nouvel outil ou d’une nouvelle initiative est généralement interprétée comme un coup de pouce plus que doux pour l’utiliser ou faire quelque chose de très similaire.

    Le changement de comptabilité peut faire une grande différence dans les scores.

    L’année dernière, Luz a signalé à GE CVE-2019-10966, une vulnérabilité dans certains appareils d’anesthésie que l’entreprise a ensuite atténuée. Il a marqué comme un risque presque parfaitement moyen – 5,3 sur l’échelle CVSS traditionnelle. Mais, malgré le score, toute personne exploitant la faille pourrait exposer un patient à un risque sérieux d’altérer la composition des gaz et des pressions. D’après les calculs de Luz, la nouvelle rubrique donne à la vulnérabilité un 9.1.

    Changer la façon dont les entreprises évaluent la gravité des risques change la façon dont elles hiérarchisent les bogues à éliminer dans quel ordre.

    Chase a déclaré qu’au cours du programme pilote testant la rubrique, les fournisseurs ont signalé que cela avait également changé la façon dont ils abordaient la correction d’un problème. Plutôt que de traiter un seul problème, a-t-elle dit, ils pourraient aborder la prévention d’un éventuel résultat de tout problème.

    Il existe des arguments contre les modèles basés sur les risques. Thaddeus Bender, un architecte de solutions de sécurité sur la plateforme de bug bounty HackerOne, a déclaré que le concept de risque peut sembler flou et difficile à prouver. Mais le risque est généralement un concept bien accepté, en particulier lorsqu’il est soutenu par une agence de réglementation comme la FDA.

    Chase, Bender et plusieurs autres experts estiment que plusieurs autres industries pourraient bénéficier de rubriques sectorielles similaires. Toute industrie où une cyberattaque pourrait mettre en danger la sécurité, des dommages physiques ou même du temps de fonctionnement pourrait bénéficier de son propre ajout au CVSS.

    «Ce serait particulièrement utile dans les petites et moyennes entreprises», a déclaré Kurt John, responsable de la cybersécurité chez Siemens, soulignant que leur infrastructure est souvent réduite pour évaluer les bogues. «Mais, même pour Siemens.»

    Selon lui, le risque est un concept important à prendre en compte dans la divulgation de la vulnérabilité, mais difficile à généraliser. Vous auriez besoin de lignes directrices spécifiques au secteur, a-t-il dit, pour éviter de juger le risque pour un fabricant de produits alimentaires en fonction des normes des centrales électriques.

    «Toutes les industries ont besoin d’une pierre de Rosette – un moyen pour les chercheurs et l’industrie de parler des risques dans le même langage», a déclaré Casey Ellis, directeur de la technologie de la plate-forme de divulgation Bugcrowd.

    Il a ajouté que la standardisation de la communication aboutit traditionnellement à l’identification de plus de vulnérabilités.

    Pour l’instant, Ellis pense que le simple fait de voir la rubrique passer la FDA est un accomplissement.

    «2020 a mis en évidence l’importance des dispositifs médicaux», a-t-il déclaré.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *