Politique de divulgation éthique

Le cycle de vie du développement de la sécurité chez OSIsoft se traduit par un code plus sécurisé avec moins de vulnérabilités. Cependant, il n’existe pas de logiciel sans vulnérabilité ou faille de sécurité potentielle dans le monde réel. De nouvelles vulnérabilités affectant les produits OSIsoft apparaîtront inévitablement au fil du temps. Il est essentiel de préparer un processus de réponse dans le cadre de tout plan d’action avant que les clients ne soient affectés. La politique d’OSIsoft sur la divulgation éthique constitue le socle de valeurs fondamentales qui guide ce processus de réponse.

Qu’est-ce que la divulgation éthique ?

La divulgation des vulnérabilités est la pratique consistant à publier les informations concernant une vulnérabilité de sécurité qui a été découverte dans le logiciel. L’objectif d’une telle divulgation est d’informer le client des risques potentiels, afin qu’il puisse prendre des mesures pour minimiser les effets de la vulnérabilité. La question de savoir s’il faut ou non divulguer une vulnérabilité nouvellement découverte représente l’une des décisions les plus délicates à prendre pour un éditeur de logiciels. En tant que prestataire de confiance, nous souhaitons informer nos clients des problèmes qui pourraient avoir un impact sur leurs opérations. Cependant, le fait de divulguer trop d’informations concernant une vulnérabilité trop rapidement pourrait potentiellement entraîner son exploitation par un intrus pour prendre de court les clients. Cette politique et les valeurs décrites dans la politique exposent la façon dont OSIsoft équilibre ces deux extrêmes.

Objectifs des divulgations éthiques

1. Communiquer de manière prévisible avec les clients

OSIsoft s’efforce de publier des bulletins de sécurité réguliers en coordination avec Microsoft Patch Tuesday (généralement le 2e mardi de chaque mois). La publication régulière de bulletins de sécurité minimise la nécessité pour le client de surveiller en permanence les problèmes de sécurité liés au déploiement des produits OSIsoft. Le client sait quand vérifier les informations actualisées concernant les vulnérabilités potentielles, ce qui lui permet de planifier les mises à jour à sa convenance. Le calendrier du bulletin et l’approche coordonnée du cycle de publication fournissent une fenêtre de planification naturelle pour le bulletin de sécurité et la publication des mises à jour de sécurité des produits.

2. Donner à nos clients les moyens d’agir (et non aux attaquants potentiels)

Les bulletins de sécurité et la documentation du produit associée fourniront des informations utiles pour gérer les cyber-risques tout en évitant de divulguer des informations sensibles qui pourraient potentiellement servir aux attaquants. Mais cela est plus difficile à mettre en pratique qu’il n’y paraît. Souvent, les personnes qui ne connaissent pas les méthodes d’intrusion en matière de cybersécurité ont du mal à déterminer si trop d’informations ont été fournies. OSIsoft s’efforce d’examiner et d’évaluer soigneusement chaque vulnérabilité présentant un risque potentiel afin de prendre une décision concernant un signalement au public. En cas de doute, nous demandons, et continuerons à demander l’avis professionnel d’experts en sécurité du secteur.

3. Expliquer la situation

Les bulletins de sécurité sont le fruit de nombreuses recherches et d’une évaluation minutieuse visant à expliquer chaque vulnérabilité aussi précisément que possible avec les informations dont nous disposons à ce moment-là. En substance, quelle est sa gravité ? Comment le client qui lit le bulletin saura-t-il s’il est concerné ? Que peut faire le lecteur pour protéger son déploiement ? L’analyse situationnelle est prise en compte, avec notamment : des informations concernant la manière dont le problème a été découvert, si une solution ou une solution de contournement est disponible, et le niveau d’activité d’exploit (le cas échéant). Ce contexte aide les clients à évaluer l’urgence de la situation et à développer un plan d’action. Il s’agit de l’objectif de base de chaque bulletin : équiper et habiliter l'utilisateur. La plupart des mises à jour de sécurité sont traitées par nos clients comme des éléments de travail régulièrement programmés ; cependant, OSIsoft s’efforcera de communiquer sa recommandation éclairée sur l’urgence particulière de tout problème de sécurité donné.

4. Communiquer ce qui est important

Tous les produits ne sont pas aussi omniprésents que les autres. Bien que les informations sur les vulnérabilités des composants du PI System largement utilisés seront traitées avec plus d’importance, la sévérité, l’exploitation active ou les demandes des régulateurs restent des facteurs qui augmentent l’importance d’un bulletin de sécurité, indépendamment de l’utilisation relative du ou des produits OSIsoft concernés. Notre préférence pour la divulgation formelle des vulnérabilités à la communauté de la sécurité inclut la coordination professionnelle par l'agence de cybersécurité du ministère américain de la Sécurité intérieure (Cybersecurity and Infrastructure Security Agency, CISA). Les médias et la presse professionnelle sont des forums inappropriés pour la divulgation des vulnérabilités.

Valeurs fondamentales concernant la divulgation des vulnérabilités

  1. En premier lieu, OSIsoft s’engage à ne pas nuire en matière de divulgation des vulnérabilités de sécurité. La principale considération pour chaque bulletin de sécurité publié est de savoir si sa publication présente une possibilité réaliste de nuire par inadvertance à nos clients. Dans le cas d'une réponse positive allant à l’encontre de nos valeurs fondamentales, nous ne signalons pas la vulnérabilité dans son état actuel. Ce principe illustre notre engagement à prendre toutes nos décisions en matière de cybersécurité en gardant à l’esprit notre relation avec chaque client.
  2. Nous nous efforçons de donner à nos clients des informations opportunes et exploitables dans le but de les aider à prendre des décisions éclairées concernant la sécurité de leur mise en œuvre de notre logiciel. Pour y parvenir, nous informons les clients des vulnérabilités de sécurité, y compris de la façon dont les mises à jour logicielles régulières peuvent les résoudre. Comme c’est le cas pour la santé et la médecine, la maintenance préventive par l’application de mises à jour régulières est souvent plus efficace et moins gourmande en ressources que les correctifs et les solutions de contournement.
  3. La sécurité est basée sur la confiance. Les clients ont besoin d’informations ouvertes et transparentes sur la sécurité des produits OSIsoft pour mieux se protéger, et OSIsoft s’engage à fournir les informations appropriées pour entretenir cette confiance.

La philosophie des vulnérabilités auto-déclarées

OSIsoft est fière d’être un leader en matière d’auto-déclaration des vulnérabilités de sécurité découvertes en interne auprès de la CISA, de la base clients et du public. Chaque vulnérabilité est soumise à un processus approfondi pour déterminer si elle doit être divulguée publiquement. L’un des facteurs les plus importants pour la divulgation est le score de vulnérabilité commun (Common Vulnerability Score, CVSS), qui donne une idée de la sévérité et du préjudice potentiel. Ces scores sont utilisés pour classer les vulnérabilités en catégories selon leur gravité : Faible, Moyenne, Élevée et Critique, et servent d'indicateurs pour évaluer chaque divulgation. Un autre facteur pris en compte est l’impact sur nos clients, déterminé par une analyse et une recherche minutieuses afin de comprendre le contexte et la pertinence d’une divulgation dans le schéma global du déploiement du produit.

Pourquoi auto-déclarons-nous les vulnérabilités ?

  1. Parce que le client est notre priorité. Notre objectif principal est de sécuriser la mise en œuvre de notre logiciel par nos clients.
  2. Nous voulons permettre à nos clients de trouver plus facilement toutes les informations sur les vulnérabilités à un seul endroit, la CISA, selon un calendrier régulier.
Lorsque cela est justifié par l'analyse, nous signalerons nos vulnérabilités à la CISA généralement soixante jours après qu’une mise à jour logicielle ait résolu les problèmes. Cela renforce notre objectif principal : qui est tout d'abord ne pas porter préjudice en matière de divulgation des vulnérabilités.

Politique d’entreprise sur la divulgation éthique

Cette politique s’applique aux vulnérabilités du code logiciel en général conformément aux normes ISO/IEC 29147 et au Common Industrial Control System Vulnerability Disclosure Framework spécifique au domaine, développé par le Groupe de travail conjoint sur les systèmes de contrôle industriel du Département américain de la sécurité intérieure.

  1. OSIsoft ne divulguera une vulnérabilité que lorsque la divulgation inclut des informations exploitables telles qu’un moyen de corriger ou de remédier au problème.
  2. OSIsoft ne divulguera jamais des détails sur la vulnérabilité qui pourraient conduire au développement d’une exploitation de la vulnérabilité.
  3. La divulgation des vulnérabilités est publiée sous forme de bulletins de sécurité, de notes de publication, de notes de support technique, d’articles de la base de connaissances et de conseils via le site Web de support.

Comment OSIsoft réagit-elle spécifiquement aux différents types de vulnérabilités ?

Un processus de plan de réponse aux incidents est activé pour évaluer la vulnérabilité et déterminer si elle répond aux critères les plus élémentaires pour une réponse escaladée. Un commandant d'incident est chargé de coordonner les activités d’intervention, y compris les remontées d'information à la direction pour les problèmes critiques affectant les produits publiés.

OSIsoft adopte ensuite trois approches différentes pour répondre à une vulnérabilité, en fonction de la personne qui l’a découverte, de la gravité de l’exploit potentiel et d’autres facteurs aggravants. La liste des approches diffère dans la méthodologie de communication, comme suit :

1. OSIsoft découvre en interne une vulnérabilité dans le PI System

Le plan de remédiation est généré, y compris les bulletins de sécurité pour les problèmes de niveau élevé et moyen. Les informations exploitables disponibles telles que la publication générale d’une mise à jour de produit ou la procédure d’évitement doivent être communiquées. Une notification préalable est fournie aux parties prenantes, clients et partenaires, suivie d’une disponibilité générale et d’une divulgation coordonnée avec la CISA (ou un service public équivalent) lorsque OSIsoft décide que la publication auprès d'un public plus large est justifiée après une analyse minutieuse.

2. Un tiers découvre une vulnérabilité dans le PI System

OSIsoft encourage les rapports de vulnérabilité de tiers et s’efforce de maintenir une communication régulière avec le tiers pendant les phases de réponse aux incidents, y compris la reproduction du problème, le tri des causes fondamentales, l’évaluation de l’impact, le plan de remédiation et la confirmation de la correction, le cas échéant. Des plans de divulgation sont générés en collaboration avec le tiers. OSIsoft favorise la divulgation coordonnée avec des informations exploitables telles que la publication générale d’une mise à jour de produit ou la procédure d’évitement. La confirmation de la découverte par un tiers est sujette au consentement.

3. Vulnérabilité activement exploitée dans le PI System

OSIsoft communiquera activement à tous les partenaires et clients des mesures de défense recommandées, des mesures d’atténuation et des conseils concernant les vulnérabilités déjà connues du public et susceptibles d’être exploitées. Il est important de noter que pour ce type de situation, OSIsoft contactera immédiatement les clients et n’attendra pas de suivre le cycle normal de mise à jour ou de publication de correctif. En outre, des mises à jour logicielles régulières traitant les vulnérabilités seront fournies au client lorsqu’elles seront disponibles. La haute direction au sein de l’entreprise sera impliquée pour assurer une résolution rapide et efficace de la vulnérabilité.

Dernière révision : 5 mars 2020

©2021 OSIsoft, LLC