Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint à la Cybersecurity and Infrastructure Security Agency (CISA), à la National Security Agency (NSA) et au Federal Bureau of Investigation (FBI), ainsi qu’aux autres partenaires internationaux ci-dessous, pour recommander aux fabricants de logiciels de diminuer le risque de leur clientèle en prenant des mesures qui mettent en pratique le principe de sécurité dès la conception lors de la conception et de la mise en œuvre de leurs produits :
- l’Australian Cyber Security Centre (ACSC)
- la Computer Emergency Response Team de Nouvelle-Zélande (CERT-NZ)
- le National Cyber Security Centre de Nouvelle-Zélande (NCSC-NZ)
- National Cyber Security Centre du Royaume-Uni (NCSC-UK)
Une des recommandations concerne l’utilisation de langages permettant d’assurer la sécurité de la mémoire dans leurs produits. Les vulnérabilités liées à la sécurité de la mémoire représentent une catégorie d’erreurs de codage courantes et bien connues que les auteures et auteurs de menace exploitent souvent. Les fabricants de logiciels ont mobilisé beaucoup de ressources à la diminution de la prévalence et des répercussions de ces erreurs, ainsi qu’à l’analyse, aux correctifs et à la publication de nouveaux codes pour répondre aux divulgations de vulnérabilités. Malgré ces efforts, les vulnérabilités liées à la sécurité de la mémoire demeurent une cause principale de vulnérabilités logicielles. Par conséquent, la clientèle doit consacrer d’importantes ressources pour atténuer ces vulnérabilités par l’entremise de programmes chronophages de gestion des correctifs et d’activités d’intervention en cas d’incident.
Il existe plusieurs tactiques permettant de réduire la prévalence du manque de sécurité de la mémoire, comme les protections fondées sur le matériel et la modification de langages n’assurant pas la sécurité de la mémoire, mais la meilleure façon de diminuer la prévalence et les répercussions de ces vulnérabilités est d’utiliser des langages de programmation permettant d’assurer la sécurité de la mémoire. Les investissements afin de faire migrer les flux de travaux et les codes bases vers des langages assurant la sécurité de la mémoire permettront des économies à long terme. En misant sur ces langages, il est possible de réduire le nombre de vulnérabilités de cette catégorie.
Les fabricants de logiciels sont encouragés à créer et à publier des feuilles de route pour la sécurité de la mémoire, soit un plan pour éliminer les vulnérabilités liées à la sécurité de la mémoire dans leurs produits. Ils indiqueront ainsi à leur clientèle qu’ils prennent en main la sécurité de leurs produits. Pour ce faire, les fabricants doivent adopter une transparence radicale et une approche en cascade quant au développement de produits sécurisés.
Consultez le guide conjoint publié par la CISA : CISA Releases Joint Guide for Software Manufacturers: The Case for Memory Safe Roadmaps (en anglais seulement)