Considérations liées à la sécurité dans le cadre de l’utilisation de logiciels libres (ITSAP.10.059)

Une organisation qui souhaite acquérir de nouveaux logiciels peut envisager d’utiliser des logiciels libres. Les logiciels libres utilisent un code source accessible au public et pourraient s’avérer une option plus abordable et souple que d’autres options logicielles. Même si les coûts d’acquisition et d’intégration sont abordables, les logiciels libres peuvent introduire des vulnérabilités et présenter des risques liés à la sécurité pour votre organisation.

La gestion continue de ces risques et vulnérabilités, et des incidents de sécurité connexes peut entraîner des pertes considérables pour votre organisation. Cette publication décrit les risques liés aux logiciels libres et les mesures que votre organisation peut prendre afin de les atténuer.

Sur cette page

• Définition de « libre » et de « source ouverte »
• Risques liés à l’utilisation de logiciels libres
• Cycle de développement des logiciels libres
• Protégez votre organisation
• Facteurs à considérer lors de l’utilisation de logiciels libres
• Renseignements supplémentaires

Définition de « libre » et de « source ouverte »

Les termes « libre » et « source ouverte » font référence à une approche qui vise à créer des programmes informatiques en utilisant un code accessible au public qui a été mis sous une licence par les auteures et auteurs de celui-ci, permettant à quiconque de voir, de modifier et de distribuer le code en question, voire d’en créer de nouvelles versions. Le code source libre est créé grâce à la collaboration volontaire de spécialistes en développement de logiciels. Les développeuses et développeurs peuvent élaborer davantage le code dans le but de créer un produit logiciel autonome ou d’ajouter de nouvelles fonctionnalités à celles qui existent déjà.

Les navigateurs Web Google Chrome et Firefox sont des exemples de produits libres. Puisque les logiciels libres sont accessibles au public, n’importe qui peut apporter des modifications au code source libre existant. Il est ainsi facile pour les utilisatrices et utilisateurs de personnaliser les logiciels libres pour répondre à leurs besoins opérationnels en ajoutant, en retirant ou en modifiant les capacités de ces produits.

Risques liés à l’utilisation de logiciels libres

Avant de vous procurer et de mettre en place des logiciels libres, il est essentiel de mener des activités d’assurance de l’information. Ces activités vous permettront de continuer à protéger les réseaux, les systèmes et l’information de votre organisation.

Les logiciels libres n’affichent pas tous le même niveau de risque Niveau de risqueLe niveau attribué à un risque (c.-à-d. élevé, moyen, faible). . De fait, de nombreux produits de sécurité des TI commerciaux contiennent des composantes de source ouverte intégrées dans leur code. À titre d’exemple, les entreprises qui fabriquent les produits de sécurité des TI ayant des fonctionnalités cryptographiques utilisent OpenSSL, une bibliothèque cryptographique libre.

Tenez compte des risques suivants avant d’utiliser des logiciels libres au sein de votre organisation.

Accès déraisonnable

Le code source ouvert est accessible à toutes et à tous, ce qui permet aux auteurs de cybermenace CybermenaceEntité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient. de manipuler le code à des fins malveillantes. Les logiciels libres exposent vos réseaux et vos informations aux auteurs de menace, ce qui leur donne l’occasion d’y accéder.

Lacunes en matière d’assurance de la qualité

Rien ne garantit que des spécialistes aient mené des tests rigoureux visant à assurer la qualité du produit pendant toutes les phases de développement du logiciel libre ni que celles et ceux qui ont examiné le code aient minutieusement vérifié toutes les fonctions de sécurité. Ces lacunes posent des risques pour l’infrastructure de TI de votre organisation.

Manque de soutien

La plupart des logiciels libres ne comprennent pas de service de soutien. Il revient à la communauté du projet de maintenir le logiciel libre, de signaler toute vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. connue et de mettre en œuvre les correctifs nécessaires. Sans une équipe de soutien spécialisée, les mises à jour et les correctifs essentiels ne sont pas forcément disponibles. Par conséquent, les auteurs de cybermenace ont tout le loisir d’exploiter ces vulnérabilités pour tenter d’accéder au réseau, aux systèmes et à l’information de votre organisation.

Cycle de développement des logiciels libres

Une approche de développement des logiciels libres repose sur les valeurs suivantes : la collaboration, la transparence et le développement axé sur la communauté. Voici quelques étapes du cycle de développement des logiciels libres :

• l’analyse des besoins;
• la conception;
• la mise en œuvre;
• la mise à l’essai;
• la publication;
• la maintenance.

L’équipe de projet rend publics les logiciels libres dès qu’elle les a mis en marche, même s’ils contiennent des bogues. L’inspection et l’examen de ces logiciels relèvent souvent du public pour améliorer le produit au fil du temps. Des volontaires testent le logiciel pour signaler les bogues et suggérer des mesures correctives. L’équipe de projet tient compte de ces commentaires pour améliorer la prochaine version du logiciel et la publier. Ces étapes sont répétées autant de fois qu’il le faut pour améliorer le logiciel et lancer des versions plus stables.

De plus, la sécurité n’est pas nécessairement intégrée à la conception ni au développement de logiciels libres, ce qui peut donner lieu à des vulnérabilités et comporter des risques pour votre organisation.

Beaucoup de grandes entreprises soutiennent des projets de développement de logiciels libres. Cependant, ces projets peuvent dépendre d’activités menées dans le cadre de plus petits projets de logiciels libres gérés par des bénévoles. En ce qui concerne les petits projets de logiciels libres, les bénévoles auront peut-être moins de temps à consacrer à la résolution de problèmes ou à la réalisation des tests de sécurité. De plus, ces projets peuvent ne pas disposer des fonds nécessaires pour embaucher des vérificatrices et vérificateurs de la sécurité.

Amélioration de la sécurité des logiciels libres

Les initiatives de sécurité dès la conception poussent les développeuses et développeurs de logiciels à accroître la sécurité de leurs produits, y compris les logiciels libres, avant de les rendre accessibles au public.

Le fait d’intégrer des mesures de sécurité lors de la conception des logiciels libres et pendant leur cycle de vie améliore la sécurité pour les utilisatrices et utilisateurs. Les logiciels libres qui ont été développés en utilisant des langages de programmation permettant d’assurer la sécurité de la mémoire, comme Rust et Python, peuvent être moins sujets aux vulnérabilités.

Protégez votre organisation

Afin de protéger votre organisation des risques liés à l’utilisation de logiciels libres, assurez-vous d’avoir un cadre de sécurité en matière des logiciels libres. Voici certaines recommandations d’éléments à inclure dans votre cadre de sécurité.

Sécurité de la chaîne d’approvisionnement

Dans le cadre de votre stratégie en matière de logiciels libres, tenez compte des considérations relatives à la chaîne d’approvisionnement. Comprenez les risques liés à la chaîne d’approvisionnement ainsi que leurs répercussions sur votre environnement.

Suivi de la nomenclature logicielle et des logiciels libres

Assurez le suivi de tous les logiciels libres qui s’exécutent sur votre environnement. Surveillez les divulgations publiques de vulnérabilités et élaborez vos stratégies de gestion des correctifs en conséquence.

Demandez une nomenclature logicielle (SBOM pour Software Bill of Materials) pour tous les logiciels, y compris les projets qui ne sont pas de source ouverte, afin de comprendre les répercussions des divulgations des vulnérabilités sur votre environnement.

Déploiement sécurisé

Le déploiement sécurisé des logiciels libres est aussi important que leur cadre de développement. Avant de déployer un logiciel libre, comprenez ses fonctions de sécurité et tirez-en profit. Si les mesures de sécurité ne sont pas suffisantes, menez une évaluation de sécurité afin de déterminer les mesures d’atténuation possibles ou reconsidérez l’utilisation du logiciel libre.

Risques liés aux licences

Comprenez les licences des logiciels libres et les restrictions de droits afin d’éviter toute contravention légale. Certains logiciels libres pourraient nécessiter une attribution, tandis que d’autres pourraient avoir des restrictions liées à la diffusion et à l’utilisation. Veillez à ce qu’il n’y ait aucune répercussion sur le plan juridique.

Facteurs à considérer lors de l’utilisation de logiciels libres

En définitive, les logiciels libres devraient bien cadrer dans votre stratégie de TI globale. Vous trouverez ci-dessous quelques facteurs à considérer lors de l’utilisation de logiciels libres.

Avant d’acheter un nouveau logiciel

Votre organisation doit déterminer son niveau de tolérance aux risques. Par la suite, vous serez en mesure de déterminer quels logiciels vous pouvez vous permettre d’utiliser et choisir ceux qui répondent à vos besoins opérationnels et à vos exigences en matière de sécurité.

Avant d’installer un nouveau logiciel

Votre organisation doit prendre des mesures pour détecter et atténuer les vulnérabilités. Ces mesures comprennent ce qui suit :

• mise à l’essai proactive de la sécurité logicielle;
• vérification des mises à jour logicielles;
• retrait des protocoles désuets;
• renforcement de la sécurité;
• surveillance des interventions en cas d’incident.

Faites toujours la mise à l’essai d’un logiciel avant de l’installer. Continuez d’effectuer ces tests tout au long du cycle de vie du logiciel, notamment avant l’installation de mises à jour et de correctifs. La surveillance continue et les tests permettent de réduire les risques d’exploitation.

Lors de l’utilisation de logiciels libres

Gérez tous les logiciels libres au moyen des procédures et des outils que vous employez pour les produits commerciaux. Veillez à ce que vos employées et employés suivent de la formation sur les pratiques exemplaires en cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. pour les aider à utiliser et à gérer les produits logiciels en toute sécurité. Envisagez de nommer des championnes et champions de la sécurité au sein de votre organisation afin de promouvoir des pratiques plus sûres et sécuritaires.

Renseignements supplémentaires

• Conseils conjoints sur le choix de technologies sécurisées et vérifiables
• En faveur d’une feuille de route pour la sécurité de la mémoire
• Bulletin conjoint sur l’exploration de la sécurité de la mémoire dans des projets de source ouverte critiques
• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)