L'agence américaine Cybersecurity and Infrastructure Agency (CISA) et dix-sept partenaires internationaux contribuent à définir les bonnes pratiques pour l'industrie technologique avec leurs principes « Secure by Design » (sécurité intrinsèque). L'objectif est d'encourager les fabricants de logiciels à intégrer fondamentalement la sécurité au développement de leurs produits, d'une part, mais également à concevoir des produits dotés de puissantes fonctionnalités de sécurité configurées par défaut.
En tant qu'entreprise spécialiste de la cybersécurité, Cloudflare considère que la sécurité des produits fait partie intégrante de son ADN. Nous croyons fermement aux principes énoncés par CISA, et nous continuerons à les mettre en œuvre dans le cadre du travail que nous accomplissons. Nous sommes heureux d'expliquer de quelle façon Cloudflare a intégré les principes de sécurité intrinsèque aux produits que nous développons et aux services que nous mettons à la disposition de tous nos clients.
Que signifient les expressions « sécurité intrinsèque » et « sécurité par défaut » ?
La sécurité intrinsèque caractérise un produit dans lequel la sécurité est fondamentalement intégrée, plutôt qu'ajoutée a posteriori. Au lieu de prendre des mesures de sécurité de manière réactive, les fabricants prennent des dispositions visant à atténuer préalablement tous les risques, en développant des produits offrant une protection raisonnable contre les acteurs malveillants qui parviennent à y accéder.
Le terme « sécurité par défaut » signifie que les produits sont conçus de manière à ce que les configurations de sécurité nécessaires soient incluses par défaut, sans frais supplémentaires.
CISA énonce les trois principes suivants en matière de sécurité des produits logiciels :
- Assumer la responsabilité des résultats pour la sécurité des clients
- Opter pour une transparence et une responsabilité radicales
- Adopter le leadership vertical
Dans sa documentation, CISA fournit des conseils détaillés sur la mise en œuvre de ses principes et les mesures de sécurité auxquelles doivent adhérer les fabricants. Le respect de ces lignes directrices permet non seulement d'améliorer les avantages en matière de sécurité pour les clients et de renforcer la réputation de la marque des développeurs, mais également de réduire les coûts à long terme de maintenance et d'application de correctifs pour les fabricants.
Pourquoi est-ce important ?
La technologie joue indéniablement un rôle important dans nos vies, en automatisant de nombreuses tâches du quotidien. La dépendance du monde à l'égard de la technologie et des appareils connectés à Internet s'est considérablement accrue ces dernières années, en grande partie en raison du Covid-19. Pendant l'épidémie, les individus et les entreprises ont migré en ligne afin de se conformer aux mesures de santé publique limitant les interactions physiques.
Si la connectivité à Internet nous facilite la vie en offrant des opportunités d'apprentissage en ligne et de travail à distance, elle permet également aux acteurs malveillants de tirer profit de ces activités. En l'absence de mesures de protection adéquates, les données sensibles, telles que les informations sur les utilisateurs, les dossiers financiers et les identifiants de connexion peuvent être compromises et utilisées pour des activités malveillantes.
Les vulnérabilités des systèmes peuvent également avoir un impact sur des secteurs de l'industrie entiers, voire des économies entières. En 2023, des pirates informatiques originaires de Corée du Nord ont été soupçonnés d'être à l'origine de plus de 20 % des pertes de cryptomonnaies après avoir exploité des vulnérabilités logicielles et dérobé plus de 300 millions de dollars à des particuliers et des entreprises du monde entier.
Malgré les conséquences potentiellement dévastatrices d'un logiciel non sécurisé, un trop grand nombre de fournisseurs font peser la responsabilité de la sécurité sur leurs clients ; c'est une réalité que CISA souligne dans ses lignes directrices. Bien que l'on exige des clients qu'ils fassent preuve d'un certain degré d'attention, la majorité des risques devraient être gérés par les fabricants et leurs produits. Ce n'est qu'à cette condition que nous pourrons avoir des interactions en ligne plus sûres et plus fiables. Les principes de la « sécurité intrinsèque » sont essentiels pour combler ce fossé et transformer l'industrie.
Comment Cloudflare prend-elle en charge les principes de sécurité intrinsèque ?
Assumer la responsabilité des résultats pour la sécurité des clients
CISA explique que pour assumer la responsabilité des résultats pour la sécurité des clients, les fabricants de logiciels doivent investir dans des initiatives de sécurité des produits, et notamment le renforcement des applications, les fonctionnalités des applications et les paramètres par défaut des applications. Chez Cloudflare, nous gardons toujours à l'esprit ces initiatives en matière de sécurité des produits, dont nous présentons quelques exemples ci-dessous.
Renforcement des applications
Chez Cloudflare, nos développeurs suivent un processus défini de gestion du cycle de vie du développement logiciel (SDLC, « Software Development Life Cycle »), avec des interventions ponctuelles de notre équipe de sécurité. Nous remédions proactivement aux vulnérabilités connues avant qu'elles ne puissent être exploitées, et nous corrigeons toutes les vulnérabilités exploitées pour tous nos clients. Par exemple, nous nous engageons à soutenir les langages de programmation sécurisés pour la mémoire et à les utiliser dans la mesure du possible. En 2021, Cloudflare a réécrit le pare-feu WAF, codé en Lua, en Rust, un langage sécurisé pour la mémoire. Plus récemment, Cloudflare a inauguré un nouveau proxy HTTP développé en interne, appelé Pingora, qui nous a permis de délaisser le langage C, non sécurisé pour la mémoire, au langage Rust. Ces deux projets se sont avérés être des entreprises de très grande ampleur, et n'auraient pas été réalisables sans le soutien de notre équipe de direction technique.
Sécurité Zero Trust
Par défaut, nous nous conformons au modèle Zero Trust Maturity Model grâce à la suite de services de sécurité Zero Trust de Cloudflare, afin d'empêcher tout accès non autorisé aux données de Cloudflare, aux ressources de développement et à d'autres services. Nous minimisons les hypothèses de confiance, et nous exigeons une vérification stricte de l'identité de chaque personne et de chaque appareil tentant d'accéder aux ressources de Cloudflare, qu'elles soient auto-hébergées ou dans le cloud.
Chez Cloudflare, nous pensons que la sécurité Zero Trust est une architecture de sécurité indispensable dans l'environnement actuel, caractérisé par des attaques de cybersécurité omniprésentes et les environnements de travail hybrides. Pour aider à protéger les petites entreprises aujourd'hui, nous proposons une offre Zero Trust proposant les contrôles de sécurité essentiels indispensables pour préserver la protection en ligne du personnel et des applications, disponible gratuitement pour 50 utilisateurs maximum.
Fonctionnalités des applications
Nous fournissons gratuitement aux utilisateurs de nombreux outils de sécurité essentiels, mais depuis nos débuts, nous avons également contribué à inciter l'ensemble du secteur à proposer de meilleures fonctionnalités de sécurité par défaut.
En 2014, déjà, à l'occasion de la Semaine anniversaire de Cloudflare, nous avions annoncé que nous rendions le chiffrement gratuit pour tous nos clients avec le lancement de Universal SSL. Puis, en 2015, nous étions allés encore plus loin, en proposant le chiffrement intégral de toutes les données, du navigateur jusqu'au serveur d'origine – et ce, gratuitement. Aujourd'hui, le reste de l'industrie a suivi notre exemple, et le chiffrement par défaut est devenu la norme pour les applications Internet.
Au cours de la septième semaine d'anniversaire de Cloudflare, en 2017, nous avons été incroyablement fiers d'annoncer l'atténuation DDoS illimitée. Ce service absorbe et atténue les attaques DDoS de grande ampleur, sans que la bande passante excédentaire consommée lors d'une attaque ne soit facturée aux clients. Avec cette annonce, nous avons éliminé la pratique de facturation des pics de trafic en cas d'attaque DDoS, répandue dans ce secteur.
En 2021, nous avons annoncé un protocole appelé MIGP (« Might I Get Pwned »), qui permet aux utilisateurs de vérifier si leurs informations d'identification ont été compromises, sans toutefois exposer inutilement d'informations. À l'exception d'un identifiant générique issu d'un préfixe de hachage de votre e-mail, vos informations d'identification restent sur votre appareil et ne sont jamais transmises (même chiffrées) sur Internet. Avant cela, l'utilisation de services de vérification des informations d'identification pouvait s'avérer être une vulnérabilité en soi, puisqu'elle risquait de divulguer des informations sensibles pendant que vous vérifiiez si vos informations d'identification avaient été compromises ou non.
Un an plus tard, en 2022, Cloudflare a de nouveau révolutionné l'industrie avec l'annonce de la disponibilité gratuite des ensembles de règles gérées du pare-feu WAF (pare-feu d'applications web) pour toutes les offres Cloudflare. Le pare-feu WAF est un service chargé de protéger les applications web contre les attaques malveillantes. Ces attaques ont un impact majeur sur Internet, quelle que soit la taille de l'entreprise. En rendant gratuit le pare-feu WAF, nous rendons l'Internet sûr pour tous.
Enfin, à la fin de l'année 2023, nous avons été ravis de contribuer à imposer une nouvelle pratique dans le secteur en proposant gratuitement la cryptographie post-quantique pour tous nos clients, quel que soit le niveau de leur offre.
Paramètres par défaut de l'application
Pour mieux protéger nos clients, nous veillons à ce que nos paramètres par défaut offrent une stratégie de sécurité solide dès le départ. Lorsque les utilisateurs se sentent à l'aise, ils peuvent modifier et configurer tous les paramètres à leur convenance. Par exemple, Cloudflare déploie automatiquement l'ensemble de règles gérées proposé gratuitement par Cloudflare dans toute nouvelle zone de Cloudflare. L'ensemble de règles gérées inclut les règles Log4j, les règles Shellshock, des règles correspondant à des exploitations de vulnérabilités WordPress très courantes, ainsi que d'autres règles. Les clients peuvent désactiver l'ensemble de règles, si nécessaire, ou configurer le filtre de trafic ou les règles individuelles. Pour fournir un système offrant encore plus de sécurité par défaut, nous avons également créé l'indice WAF Attack Score, qui recourt à l'IA pour détecter les contournements de règles gérées existantes et peut également détecter les exploitations de vulnérabilités de logiciels avant qu'elles ne soient divulguées publiquement.
Autre exemple, tous les comptes Cloudflare proposent par défaut des services d'atténuation illimitée des attaques DDoS, afin de protéger les applications contre les attaques les plus courantes et les plus difficiles à arrêter sur Internet.
Et enfin, un dernier exemple : lorsque les clients utilisent notre offre de stockage R2, tous les objets stockés sont chiffrés au repos. Le chiffrement et le déchiffrement sont automatiques ; l'activation de ces fonctions ne nécessite pas de configuration de la part de l'utilisateur et n'a aucun impact sur les performances de R2.
Cloudflare fournit également à tous ses clients des journaux d'audit robustes. Les journaux d'audit récapitulent l'historique des modifications apportées à votre compte Cloudflare, et incluent les actions effectuées au niveau du compte, telles que la connexion, ainsi que les modifications des configurations de zone. Les journaux d'audit sont disponibles avec tous les types d'offres, et sont capturés à la fois pour les utilisateurs individuels et pour les organisations comptant une multitude d'utilisateurs. Nos journaux d'audit sont disponibles pendant 18 mois avec les offres de tous les niveaux.
Opter pour une transparence et une responsabilité radicales
Opter pour une transparence et une responsabilité radicales signifie être fiers de proposer des produits sûrs et sécurisés. La transparence et le partage d'informations sont essentiels pour améliorer et faire évoluer l'industrie de la sécurité, en cultivant un environnement dans lequel les entreprises apprennent les unes des autres et rendent le monde en ligne plus sûr. Cloudflare fait preuve de transparence de plusieurs façons, comme indiqué ci-dessous.
Le blog Cloudflare
Sur le blog de Cloudflare, vous trouverez les dernières informations sur nos fonctionnalités et améliorations, mais également sur les attaques zero-day qui affectent l'ensemble de l'industrie, telles que les attaques historiques HTTP/2 Rapid Reset détectées l'année dernière. Nous faisons preuve de transparence en publiant des articles consacrés aux incidents de sécurité importants, tels que l'incident de sécurité de Thanksgiving 2023, dans lesquels nous expliquons en détail les événements qui se sont déroulés, pourquoi ils sont survenus et les mesures que nous avons prises pour résoudre le problème. Depuis la fondation de Cloudflare, nous avons également réalisé un effort conscient pour adopter une transparence radicale au regard des incidents affectant nos services, et nous continuons à considérer ce principe important comme l'une de nos valeurs fondamentales. Nous espérons que les informations que nous partageons pourront aider d'autres professionnels à améliorer leurs pratiques en matière de logiciels.
État des systèmes de Cloudflare
L'état des systèmes de Cloudflare est une page destinée à informer les propriétaires de sites web sur l'état des services Cloudflare. Elle fournit des informations sur l'état actuel des services et indique s'ils fonctionnent comme prévu. En cas d'incident en cours, la page d'état indique quels services ont été affectés et fournit des informations détaillées sur le problème. Les utilisateurs peuvent également accéder à des informations concernant les opérations de maintenance programmée pouvant affecter la disponibilité de certains services.
La transparence technique pour garantir l'intégrité du code
Nous croyons en l'importance de l'utilisation de la cryptographie en tant que moyen technique pour réaliser une vérification transparente de l'identité et de l'intégrité des données. Par exemple, en 2022, nous avons travaillé en partenariat avec WhatsApp pour fournir à WhatsApp un système qui assure aux utilisateurs d'exécuter du code légitime, non altéré, lorsqu'ils utilisent la version web du service en activant l'extension de navigateur Code Verify, qui confirme automatiquement l'intégrité du hachage. C'est ce processus, et le fait qu'il soit automatisé pour le compte de l'utilisateur, qui permet d'assurer la transparence de manière évolutive. Si les utilisateurs devaient eux-mêmes récupérer, calculer et comparer manuellement les hachages, la détection des altérations ne serait probablement effectuée que par une petite fraction d'utilisateurs techniques.
Rapport sur la transparence et déclarations de non-injonction
Nous considérons également que si nous souhaitons gagner et conserver la confiance de nos clients, l'un des aspects essentiels du processus consiste à faire preuve de la plus grande transparence concernant les demandes que nous recevons de la part des autorités et des autres entités gouvernementales. À cette fin, Cloudflare met à jour deux fois par an notre rapport sur la transparence afin d'y intégrer les nouvelles demandes de divulgation d'informations sur nos clients reçues dans l'intervalle.
Nos déclarations de non-injonction sont un aspect important du rapport sur la transparence de Cloudflare. Les déclarations de non-injonction sont une méthode permettant d'informer implicitement les utilisateurs que nous n'avons pas pris certaines dispositions ou reçu certaines demandes du gouvernement ou des forces de l'ordre, telles que la remise, à qui que ce soit, de nos clés de chiffrement ou d'authentification ou des clés de chiffrement ou d'authentification de nos clients. Nous sommes ainsi en mesure d'informer nos utilisateurs sur la confidentialité et la sécurité de leurs données, tout en respectant les consignes des forces de l'ordre qui interdisent la divulgation de certaines de leurs demandes. Vous pouvez consulter les déclarations de non-injonction de Cloudflare ici.
Bien que les rapports sur la transparence et les déclarations de non-injonction ne soient pas explicitement mentionnés dans les principes « Secure by Design » de CISA, nous pensons qu'ils constituent un aspect important de la transparence des pratiques d'une entreprise technologique.
Offre publique de primes aux bugs
Nous vous invitons à contribuer à nos initiatives en matière de sécurité en participant à notre offre publique de primes aux bugs, hébergée par HackerOne, qui vous permet de signaler les vulnérabilités de Cloudflare et de recevoir une compensation financière en échange de votre aide.
Adopter le leadership vertical
Avec ce principe, la sécurité est profondément ancrée dans les objectifs opérationnels de Cloudflare. En raison de l'étroite relation entre sécurité et qualité, l'amélioration de la sécurité par défaut d'un produit entraîne une amélioration de la qualité du produit dans son ensemble.
Chez Cloudflare, notre engagement envers la sécurité se reflète dans la structure de l'entreprise. Notre Chief Security Officer rend compte directement à notre directeur général, et participe également à toutes les réunions du conseil d'administration. Ceci permet d'informer les membres du conseil d'administration sur le panorama actuel de la cybersécurité et souligne l'importance des initiatives de l'entreprise en matière d'amélioration de la sécurité.
En outre, nos ingénieurs en sécurité font partie de l'organisation principale de recherche et développement, et leur travail fait partie intégrante de nos produits, au même titre que celui de nos ingénieurs système. Cela signifie que nos ingénieurs en sécurité peuvent intégrer la sécurité au cycle de vie du développement logiciel, au lieu de l'ajouter après coup.
Comment pouvez-vous aider ?
Si vous êtes un fabricant de logiciels, nous vous encourageons à vous familiariser avec les principes « Secure by Design » de CISA et à élaborer un plan pour les mettre en œuvre au sein de votre entreprise.
En tant qu'individu, nous vous encourageons à participer à des programmes de primes aux bugs (tels que l'offre publique de prime aux bugs de Cloudflare sur HackerOne) et à promouvoir la sensibilisation à la cybersécurité au sein de votre communauté.
Ensemble, contribuons à bâtir un Internet meilleur.