Qui devrait lire ceci : chercheurs en sécurité, coordinateurs de divulgation des vulnérabilités, équipes de sécurité produit, décideurs politiques en cybersécurité.
Pour les chercheurs en sécurité, l’émergence de la directive NIS2 présente à la fois une opportunité et une obligation. La directive établit explicitement un cadre pour la divulgation coordonnée des vulnérabilités (CVD) à l’article 12, créant des structures institutionnelles et des processus par lesquels les chercheurs peuvent signaler les vulnérabilités de manière responsable. C’est significatif : la directive reconnaît que la divulgation responsable exige une coordination, que les chercheurs jouent un rôle critique dans l’amélioration de la sécurité, et que des processus dignes de confiance sont nécessaires pour que la divulgation fonctionne efficacement. Si vous êtes chercheur, coordinateur de vulnérabilités ou travaillez dans la sécurité produit, comprendre l’article 12 et l’écosystème européen de divulgation des vulnérabilités qu’il crée est essentiel.
La divulgation coordonnée des vulnérabilités n’est pas nouvelle ; les chercheurs en sécurité divulguent des vulnérabilités de manière responsable depuis des décennies. Ce qui est nouveau, c’est la création d’un cadre formel à l’échelle de l’UE avec un soutien institutionnel dédié. La directive établit des CSIRT désignés comme coordinateurs dans chaque État membre, crée une base de données européenne des vulnérabilités, et énonce des procédures pour gérer les vulnérabilités qui traversent les frontières ou affectent plusieurs fournisseurs. Cette infrastructure crée un chemin de confiance pour la divulgation responsable et protège les chercheurs de la responsabilité légale lorsqu’ils divulguent des vulnérabilités de bonne foi.
Le rôle du CSIRT coordinateur
Au titre de l’article 12(1), chaque État membre doit désigner l’une de ses équipes de réponse aux incidents de sécurité informatique (CSIRT) comme coordinateur pour la divulgation des vulnérabilités. Ce CSIRT coordinateur a plusieurs fonctions spécifiques qui sont fondamentales pour l’écosystème de vulnérabilités NIS2.
Premièrement, le CSIRT coordinateur agit comme un intermédiaire de confiance. Si vous découvrez une vulnérabilité et souhaitez la divulguer de manière responsable, vous pouvez la signaler au CSIRT coordinateur de votre État membre. Le CSIRT identifie alors le fournisseur ou le fabricant concerné et facilite la communication entre vous et lui. Ce rôle d’intermédiaire est important parce qu’il protège votre anonymat si vous le demandez, et il crée un tiers neutre qui peut aider à gérer les frictions inévitables qui surviennent parfois entre chercheurs et fournisseurs pendant la divulgation.
Deuxièmement, le CSIRT coordinateur vous assiste en tant que chercheur. Si vous avez besoin de conseils sur la manière de structurer votre divulgation, comment tester vos conclusions sans causer de dommages, ou comment gérer la communication avec un fournisseur difficile, le coordinateur CSIRT peut aider. Ce n’est pas simplement un avantage ; c’est un service formel disponible pour tous les chercheurs signalant des vulnérabilités en Europe.
Troisièmement, le CSIRT coordinateur négocie les délais de divulgation et gère les vulnérabilités affectant plusieurs entités. Si votre vulnérabilité affecte trois produits de fournisseurs différents, le CSIRT coordinateur s’efforcera de synchroniser la divulgation entre ces fournisseurs, en s’assurant que les correctifs sont coordonnés et que la divulgation a lieu à peu près au même moment. Cela évite la situation où un premier divulgateur est désavantagé parce qu’il corrige avant que les autres aient corrigé la même vulnérabilité.
L’article 12(1) permet explicitement aux chercheurs de signaler les vulnérabilités au CSIRT coordinateur de manière anonyme s’ils le souhaitent. Le CSIRT doit assurer un suivi diligent de votre signalement et doit maintenir votre anonymat tout au long du processus si vous le demandez. C’est une protection significative, particulièrement pour les chercheurs dans les petits États membres ou dans les écosystèmes de cybersécurité moins développés où l’anonymat des chercheurs pourrait autrement être difficile à garantir.
Lorsqu’une vulnérabilité pourrait avoir un impact significatif sur des entités dans plusieurs États membres, les CSIRT coordinateurs de chaque État membre concerné doivent coopérer. Si vous découvrez une vulnérabilité dans un serveur de noms racine DNS ou dans l’infrastructure d’un grand fournisseur cloud, l’ampleur de l’impact potentiel pourrait facilement franchir les frontières. Le réseau des CSIRT coordonnera le processus de divulgation pour assurer une réponse cohérente à travers l’Europe.
La base de données européenne des vulnérabilités
L’article 12(2) exige de l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) qu’elle développe et maintienne une base de données européenne des vulnérabilités. Cette base de données est distincte des dépôts de vulnérabilités existants comme la National Vulnerability Database (NVD) ou le système CVE de Mitre. Elle est spécifique à l’Europe et joue un rôle particulier dans le cadre NIS2.
La base de données européenne des vulnérabilités contient des informations sur les vulnérabilités publiquement divulguées dans les produits TIC et les services TIC. Notamment, elle est volontaire ; les fournisseurs et les chercheurs peuvent choisir d’enregistrer des vulnérabilités, et la participation n’est pas obligatoire. Cependant, la base de données est conçue pour servir de point de référence central pour les informations sur les vulnérabilités particulièrement pertinentes pour les entités et régulateurs européens.
La base de données comprend quatre catégories clés d’informations. Premièrement, elle contient des descriptions de la vulnérabilité elle-même : ce qu’elle est, quels systèmes elle affecte et dans quelles conditions elle peut être exploitée. Deuxièmement, elle spécifie les produits et services TIC affectés et la gravité de la vulnérabilité. Troisièmement, elle fournit des informations sur les correctifs : si des correctifs sont disponibles, quand ils ont été publiés et où ils peuvent être obtenus. Quatrièmement, si des correctifs ne sont pas disponibles, la base de données fournit des orientations des autorités compétentes ou des CSIRT sur la manière dont les utilisateurs peuvent atténuer la vulnérabilité.
Pour les chercheurs, cette base de données apporte plusieurs avantages. Publier vos informations de vulnérabilité dans la base de données européenne leur donne une reconnaissance officielle au sein du cadre de gouvernance de la cybersécurité de l’UE. Les organisations concernées à travers l’UE peuvent découvrir la vulnérabilité, accéder aux détails techniques et trouver des informations sur les correctifs auprès d’une source fiable et officielle. Cela réduit la probabilité que les informations de vulnérabilité soient fragmentées entre différentes plateformes ou perdues dans la traduction entre différents systèmes réglementaires nationaux.
La base de données soutient également ce que la directive appelle « toutes les parties prenantes ». Cela inclut les fournisseurs et les fabricants (qui peuvent surveiller la base de données pour les vulnérabilités affectant leurs produits), les équipes de sécurité d’entreprise (qui peuvent utiliser la base de données pour suivre les vulnérabilités affectant leur infrastructure) et les décideurs politiques (qui peuvent utiliser la base de données pour comprendre les tendances émergentes des vulnérabilités et allouer les ressources en conséquence).
Gouvernance de la divulgation des vulnérabilités
Le cadre établi par l’article 12 reflète plusieurs principes importants qui régissent la divulgation des vulnérabilités au titre de NIS2.
Le premier est le principe de la protection légitime. Les chercheurs qui divulguent des vulnérabilités de bonne foi, en suivant le cadre de l’article 12, bénéficient d’une protection juridique. C’est critique. Sans protection juridique, les chercheurs hésiteraient à divulguer de manière responsable, et les vulnérabilités seraient plutôt vendues sur des marchés noirs ou utilisées à des fins criminelles. La directive rend clair que la divulgation coordonnée des vulnérabilités est un bien public et que les chercheurs qui y participent ont le soutien de la directive.
Le deuxième est le principe des délais raisonnables. La directive ne mandate pas de fenêtre de divulgation spécifique (par exemple, « les fournisseurs doivent corriger dans les 30 jours ») parce que de telles fenêtres ne sont pas universellement appropriées. Certaines vulnérabilités sont triviales à corriger ; d’autres exigent un effort de développement substantiel. Certains fournisseurs ont des cycles de publication rapides ; d’autres publient des correctifs trimestriellement. Le cadre exige que les délais soient « négociés », ce qui signifie que les coordinateurs devraient faciliter la discussion entre chercheurs et fournisseurs pour convenir d’un délai raisonnable qui tienne compte de la complexité spécifique de la vulnérabilité et du cycle de développement du fournisseur.
Le troisième est le principe de la réponse graduée. Si un fournisseur ne répond pas ou ne corrige pas malgré l’accord sur un délai, le processus doit s’intensifier. Un chercheur peut s’adresser au CSIRT coordinateur, qui peut tenter de localiser un contact alternatif au sein de l’organisation fournisseur ou de remonter à l’autorité nationale compétente du fournisseur. Cette approche graduée fournit un levier aux chercheurs tout en maintenant un processus ordonné.
Le quatrième est le principe du droit à l’information des entités concernées. L’article 12(1) exige que les coordinateurs assurent un suivi diligent, ce qui inclut de s’assurer que les fournisseurs connaissent les vulnérabilités affectant leurs produits. Si un fournisseur ne reconnaît pas un signalement de vulnérabilité, le CSIRT coordinateur doit poursuivre l’affaire jusqu’à ce que le fournisseur réponde ou qu’il devienne clair que le fournisseur n’est pas réactif.
Responsabilités et bonnes pratiques des chercheurs
L’article 12 crée des opportunités pour les chercheurs, mais il implique également des responsabilités. La divulgation coordonnée des vulnérabilités au titre du cadre comporte des attentes sur la manière dont vous menez vos recherches et communiquez vos conclusions.
Lorsque vous découvrez une vulnérabilité potentielle, vous devriez avoir une confiance raisonnable qu’elle est réelle avant de la divulguer. Cela signifie mener suffisamment de tests pour confirmer l’existence de la vulnérabilité et comprendre les conditions dans lesquelles elle peut être exploitée. La divulgation responsable ne signifie pas divulguer toutes les possibilités théoriques ; cela signifie divulguer les vulnérabilités que vous avez validées.
Vous devriez divulguer à l’entité appropriée. Pour les fournisseurs et fabricants opérant en Europe, votre premier contact devrait être l’équipe de sécurité du fournisseur (si vous pouvez l’identifier) ou votre coordinateur CSIRT national. Inclure le fournisseur directement dans votre divulgation, même avant d’impliquer le CSIRT, est souvent le chemin le plus efficace, à condition d’avoir un contact de sécurité fournisseur fonctionnel. Le coordinateur CSIRT est disponible si le contact direct avec le fournisseur échoue ou si vous êtes mal à l’aise de contacter le fournisseur directement.
Vous devriez fournir suffisamment de détails techniques pour que le fournisseur comprenne et corrige la vulnérabilité. Cela ne signifie pas publier immédiatement le code d’exploitation, mais cela signifie expliquer la vulnérabilité assez clairement pour qu’un développeur compétent puisse la reproduire et identifier la cause racine.
Vous devriez être patient. Les fournisseurs, même responsables, ont besoin de temps pour développer, tester et publier des correctifs. Si vous avez négocié un délai avec le fournisseur (peut-être par l’intermédiaire du coordinateur CSIRT), laissez ce délai expirer avant d’escalader davantage.
Vous devriez respecter les embargos et la confidentialité avant divulgation. Si vous avez convenu avec un fournisseur de ne pas divulguer publiquement une vulnérabilité avant une date spécifique, honorer cet accord est à la fois éthique et essentiel pour maintenir la confiance dans le processus de divulgation.
L’écosystème plus large
L’article 12 coordonne chercheurs, fournisseurs et CSIRT, mais il existe dans un écosystème plus large de normes et de pratiques. ISO 30111 fournit des orientations sur la gestion des vulnérabilités ; ISO 29147 fournit des lignes directrices pour la divulgation des vulnérabilités. Ces normes sont pertinentes pour le fonctionnement du cadre de l’article 12, même si NIS2 ne les mandate pas par leur nom.
De même, les organisations adoptent de plus en plus des politiques de divulgation responsable et exploitent des programmes de bug bounty. Le cadre de l’article 12 complète ces initiatives du secteur privé. Un chercheur qui découvre une vulnérabilité peut soit la signaler via le programme de bug bounty d’un fournisseur (s’il en existe un), soit via le cadre NIS2. Au fil du temps, ces voies devraient converger vers un écosystème européen de divulgation des vulnérabilités plus fluide.
Points clés à retenir
-
L’article 12 établit un cadre formel de divulgation coordonnée des vulnérabilités, chaque État membre désignant un coordinateur CSIRT pour faciliter la divulgation responsable et protéger l’anonymat des chercheurs.
-
Votre coordinateur CSIRT national peut aider à la divulgation des vulnérabilités, négocier les délais avec les fournisseurs concernés et coordonner la divulgation entre plusieurs États membres si une vulnérabilité affecte des entités dans plus d’un pays.
-
La base de données européenne des vulnérabilités, maintenue par l’ENISA, sert de dépôt central pour les vulnérabilités publiquement divulguées pertinentes pour les entités européennes. Y publier vos conclusions les intègre dans le cadre officiel de cybersécurité de l’UE.
-
Les chercheurs qui divulguent des vulnérabilités au titre de l’article 12 bénéficient d’une protection juridique. La coordination de bonne foi avec les fournisseurs par l’intermédiaire du cadre du coordinateur CSIRT est le processus par lequel cette protection est garantie.
-
La négociation des délais est au cœur du cadre. Les délais de divulgation devraient être raisonnables, tenir compte de la complexité de la vulnérabilité et du cycle de développement du fournisseur, et être documentés.
