Le Bureau de la sécurité des communications du gouvernement néo-zélandais (GCSB) a conseillé aux agences gouvernementales d’introduire des politiques de divulgation des vulnérabilités (VDP).
Dans sa dernière manuel de sécuritéle GCSB a déclaré que les agences devraient établir un processus qui permettrait aux membres du public de signaler les vulnérabilités logicielles potentielles ou d’autres problèmes de sécurité.
Chaque agence sera responsable de la création de sa propre politique, en fonction de la sensibilité des informations qu’elle détient, des mesures de sécurité déjà en place et de sa capacité à segmenter son réseau ou à séparer les informations sensibles. Les vulnérabilités doivent être corrigées, atténuées ou gérées dans les 90 jours.
« Le GCSB a inclus l’exigence d’une politique de divulgation des vulnérabilités dans le manuel de sécurité de l’information de la Nouvelle-Zélande pour indiquer clairement que les agences de service public sont censées permettre aux gens de leur parler facilement des vulnérabilités qu’ils voient », a déclaré un porte-parole du GCSB. La gorgée quotidienne.
« Chaque agence est responsable de ses propres politiques, ainsi que du traitement et du tri des vulnérabilités signalées, car elle est la mieux placée pour comprendre son environnement informatique et toute dépendance qu’elle peut avoir avec les fournisseurs de services gérés ou les éditeurs de logiciels. »
Les chercheurs peuvent signaler les vulnérabilités sur une base « non blâmable », sans crainte de représailles ou de sanctions, tant que la politique de divulgation est suivie et qu’aucune activité illégale n’est entreprise. Malheureusement, il n’y aura pas de primes proposées, et les agences sont censées imposer des limites à la recherche de sites Web, de systèmes ou d’applications.
Port sûr
« Historiquement, la plupart des cadres juridiques dans le monde ne reconnaissent toujours pas la différence entre un pirate informatique opérant de bonne foi et un cybercriminel ou un attaquant malveillant », a déclaré Casey Ellis, fondateur, CTO et président de la plateforme de bug bounty Bugcrowd. La gorgée quotidienne.
« VDP aligne les attentes et crée une sphère de sécurité pour les personnes qui ont des informations ou qui veulent aider, mais qui sont par ailleurs dissuadées de le faire en raison de l’ambiguïté juridique et des risques. »
La Nouvelle-Zélande n’est que le dernier pays à avoir commencé à rendre obligatoires les VDP pour les agences gouvernementales, les États-Unis ayant publié l’année dernière la directive opérationnelle contraignante 20-01, qui oblige les agences civiles fédérales à développer et publier des VDP pour leurs systèmes et services accessibles sur Internet.
« D’autres pays ont commencé à mettre en œuvre des mandats similaires, tels que le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) du Royaume-Uni, qui oblige les fabricants, les importateurs et les distributeurs à respecter les exigences de sécurité minimales pour tous les produits connectables disponibles pour les consommateurs, y compris avoir un VDP, » Christopher Dickens, ingénieur en sécurité de la plateforme de bug bounty HackerOne, a déclaré La gorgée quotidienne.
« D’autres gouvernements suivront certainement, et une fois que les VDP seront mandatés, tout le monde, des gouvernements aux entreprises, le fera. »
