Ivanti Blog: Publié par

L'engagement « Secure by Design » : pour un futur numérique plus sûr

Wed, 08 May 2024 22:06:03 Z

Les avantages de la transformation numérique et de l'automatisation (interconnectivité mondiale, efficacité des opérations, meilleurs résultats commerciaux...) ne sont pas sans contrepartie : ils s'accompagnent généralement de problèmes de sécurité numérique. Il est évident que pour bénéficier pleinement des avantages de l'accélération numérique, les leaders du secteur doivent lancer des initiatives visant à sécuriser le paysage numérique et à réduire les menaces de cybersécurité.

Chez Ivanti, cette évolution est déjà en cours... et nous comptons conserver notre rôle de précurseur. En effet, Ivanti, en tant qu'entreprise, a toujours considéré que les intérêts de ses clients (y compris la sécurité) devaient être au cœur du développement de ses logiciels. Face à l'évolution rapide du paysage des menaces et à des techniques de piratage de plus en plus agressives et sophistiquées, il est urgent de faire de la sécurité une priorité.

C'est dans ce contexte que je vous ai présenté le plan audacieux d'Ivanti pour faire face à cette nouvelle réalité. Nos efforts s'inscrivent dans les principes du mouvement Secure by Design : la sécurité des produits est intégrée à chaque étape du cycle de vie de nos développements de logiciels. Il était donc logique que nous soyons parmi les premiers à signer l'engagement « Secure by Design » de la CISA (Cybersecurity and Infrastructure Security Agency), le 7 mai 2024 à la conférence RSA de San Francisco.

Même si le concept de sécuriser les produits dès leur conception n'est pas nouveau, il est plus pertinent que jamais. Il garantit que les produits sont conçus en intégrant la sécurité dès le départ, pour réduire les risques de vulnérabilités et rendre plus difficile leur exploitation par des acteurs malveillants. C'est la raison pour laquelle cet engagement prend tout son sens aujourd'hui, et c'est aussi pourquoi les entreprises comme Ivanti répondent à l'appel. Pour nous, c'est une avancée significative pour tout un secteur, et nous sommes impatients de concrétiser cette collaboration en donnant naissance à une nouvelle norme pour l'écosystème dans son ensemble.

Un niveau de sécurité inédit

En signant l'engagement Secure by Design, nous nous engageons à respecter une série de principes, de normes et d'actions qui nous aideront à renforcer la sécurité de nos produits, et à mieux protéger nos clients. Il s'agit notamment d'implémenter l'authentification multifacteur, de limiter l'utilisation des mots de passe par défaut, de remédier à des classes entières de vulnérabilités, d'encourager l'adoption des correctifs de sécurité, de mettre en place une stratégie de divulgation des vulnérabilités et d'améliorer la capacité de nos clients à collecter des preuves en cas d'intrusion de cybersécurité. Je me réjouis de constater que nos produits et notre entreprise respectent déjà un grand nombre des principes Secure by Design, et nous étudions les possibilités d'améliorer et d'accélérer nos efforts et nos pratiques tout au long du cycle de vie du développement produit.

Pour Ivanti, cette annonce n'est pas une vaine promesse. En signant l'engagement Secure by Design, nous promettons publiquement d'agir pour atteindre ces objectifs.

Au cours de l'année à venir, nous comptons réaliser des progrès mesurables vers chacun de ces objectifs et informerons nos clients et la communauté de la sécurité dans son ensemble de nos avancées. Nous considérons que la transparence est essentielle pour instaurer la confiance et développer une culture de sécurité.

Plus forts ensemble

En étant parmi les premiers à signer cet engagement, nous avons franchi une étape significative. Pourtant, nous savons que nous ne pourrons pas, seuls, sécuriser le futur du numérique. Il est indispensable que d'autres éditeurs du secteur adoptent eux aussi les principes Secure by Design et prennent des mesures similaires pour intégrer la sécurité dans leurs produits. Nous encourageons fortement nos homologues à nous rejoindre et à signer l'engagement Secure by Design de la CISA. C'est en travaillant tous ensemble que nous pourrons atteindre notre objectif commun, à savoir protéger nos clients et l'écosystème numérique dans son ensemble.

Les retombées commerciales ne peuvent être que positives. Vous en tirerez aussi des bénéfices pour vos collaborateurs, vos partenaires, vos clients et les communautés que vous servez.

La conférence RSA nous l'a montré : il est important de rassembler la communauté de la sécurité pour relever les défis auxquels nous sommes tous confrontés. Les échanges que nous avons eus avec les clients et nos partenaires nous ont beaucoup aidés. Ils ont mis en évidence la nécessité d'un effort collectif autour de la sécurité logicielle. En partageant connaissances et meilleures pratiques, et en étant responsables les uns envers les autres, nous pouvons faire des progrès significatifs vers un avenir plus fort et plus sûr.

Ivanti est résolu à agir en chef de file pour impulser ce nouvel élan, et nous sommes impatients d'échanger avec nos clients et toute la communauté pour faire du Secure by Design la nouvelle réalité.

Notre engagement pour la sécurité : Lettre ouverte du PDG d'Ivanti Jeff Abbott

Wed, 03 Apr 2024 15:01:32 Z

À nos précieux clients et partenaires Ivanti,

Notre entreprise fait de son mieux pour créer les solutions les plus sécurisées pour l'Everywhere Work. Les événements de ces derniers mois nous ont appris l'humilité et je voudrais vous expliquer directement les mesures que nous prenons pour garantir que nous en ressortirons plus forts et que nos clients seront mieux sécurisés.

Comme de nombreuses autres entreprises du secteur, nous avons été témoins directs de la complexité croissante du paysage des menaces et de l'évolution spécifique des tactiques des pirates. Ces activités ont placé l'un de nos produits au premier plan des conversations concernant les incidents de sécurité récemment signalés. En réponse, nous avons travaillé avec diligence pour protéger et soutenir nos clients, et nous examinons de très près notre propre posture et nos processus pour garantir que nous sommes bien préparés à affronter le paysage actuel.

Nous allons saisir cette occasion pour entamer une nouvelle ère chez Ivanti. Nous nous sommes mis au défi d'examiner d'un œil critique chaque phase de nos processus et chaque produit, afin d'assurer à nos clients un niveau de protection optimal. Nous avons déjà commencé à appliquer les leçons tirées des récents incidents pour apporter des améliorations immédiates à nos propres pratiques d'ingénierie et de sécurité. Et ce n'est que le début.

Nous mettons actuellement en œuvre un plan qui accélère les initiatives de sécurité déjà en cours et implémente des pratiques améliorées pour anticiper, prévenir et bloquer les menaces futures. Nous avons fait appel aux experts de sécurité et de développement produit les plus reconnus du secteur pour soutenir l'examen de l'équipe Ivanti et fournir les meilleurs conseils d'exécution. Nous nous assurons ainsi de respecter notre engagement envers vous, pour que votre entreprise puisse travailler facilement, en toute sécurité et en toute confiance. Ce plan s'appuie sur un investissement important et bénéficie du plein soutien de notre Conseil d'administration et de l'ensemble du personnel Ivanti.

Et après ?

Nous nous engageons dans un vaste changement, qui transforme fondamentalement le modèle opérationnel de sécurité Ivanti. Cela comprend :

Repenser les pratiques de base en matière d'ingénierie, de sécurité et de gestion des vulnérabilités pour garantir que nos produits actuels sont sécurisés et que nos clients disposent des ressources voulues pour les déployer en toute sécurité dans leur entreprise.
Garantir que tous les produits que nous créons suivent une méthodologie sécurisée dès la conception, où la sécurité est considérée comme un facteur clé à chaque étape de cycle de vie du développement logiciel.
Formaliser des partenariats avec les principales agences de cyberdéfense pour garantir que les produits Ivanti et les leçons que nous tirons de leur création améliorent l'ensemble de l'écosystème de sécurité.
Partager des informations et apprendre avec nos clients... et solliciter activement leurs commentaires pour continuer à répondre à leurs besoins.

Ci-dessous, je vous présente nos domaines d'action initiaux, et vous pouvez vous attendre à ce qu'ils continuent d'évoluer à mesure que nous progressons vers nos objectifs.

Les défis auxquels nous sommes confrontés ne sont pas propres au secteur des logiciels et nous nous engageons à prendre toutes les mesures nécessaires pour montrer la voie aux autres. Les pirates évoluent constamment... et sachez que nous le ferons aussi.

Sur ce parcours, nos clients restent au centre de nos préoccupations. Vos intérêts et votre partenariat seront toujours notre priorité, aujourd'hui et à l'avenir.

Cordialement,

Jeff Abbott

Nos plans pour l'avenir d'Ivanti

1. Renforcer la sécurité des produits et adopter les principes de sécurité dès la conception.

Appliquer la sécurité dès la conception : Nous visons principalement à intégrer la sécurité dans chaque étape du cycle de vie du développement logiciel, avec des processus robustes qui anticipent et traitent préventivement les vulnérabilités potentielles de la création du produit jusqu'à son déploiement et au-delà. Notre approche va impliquer des exercices rigoureux de modélisation des menaces, pour nous assurer que la sécurité est ancrée en tant que composante fondamentale de nos produits. Cette approche proactive sera la pierre angulaire de notre engagement, ce qui nous permettra de renforcer la protection de nos clients et de garder une longueur d'avance sur les menaces émergentes.
Optimiser les produits pour la sécurité et la confiance des clients : Nous sommes déjà en train de renforcer la sécurité globale de notre portefeuille de produits. Pour ce faire, nous allons notamment accélérer la modernisation de la pile de nos produits de sécurité réseau (Ivanti Connect Secure, Policy Secure et ZTA) grâce à diverses technologies d'isolation et antiexploitation pour réduire l'impact potentiel des futurs défauts des logiciels. Nous nous engageons à maintenir le système d'exploitation sous-jacent le plus récent dans nos produits de sécurité réseau et nous intégrons des protections matérielles supplémentaires, ainsi que des options de surveillance et de support à distance pour mieux protéger nos clients.
Alléger le fardeau de la sécurité pour nos clients : Nous allons améliorer nos capacités pour fournir des solutions sécurisées prêtes à l'emploi (sécurisées par défaut) et créer des produits pouvant, si vous le souhaitez, être gérés, surveillés et sécurisés par Ivanti. Nous allons travailler avec nos clients pour déterminer le bon niveau de responsabilités de surveillance et de gestion, en fonction de leur gamme de produits et de leur segment industriel.
Prioriser la sécurité centrée sur le client : Nous redirigeons nos ressources et nous faisons de nouveaux investissements ciblés sur la sécurité des produits dans toute l'entreprise. Pour ce faire, nous allons notamment renforcer nos équipes de sécurité produit, créer des modules d'ingénierie/de sécurité dédiés et collaboratifs, et adopter une approche proactive de la modélisation des menaces et des examens de sécurité, en renforçant les méthodologies de tests d'intrusion pour tout notre portefeuille de produits.

2. Élever notre programme de gestion des vulnérabilités.

Recherches en interne et en externe pour identifier les vulnérabilités : Nous nous engageons à améliorer les processus et la collaboration en matière de découverte des vulnérabilités, afin de mieux identifier, corriger et signaler rapidement les problèmes de sécurité dans tout le portefeuille Ivanti. Dans ce but, nous intensifions nos capacités internes de scan, d'exploitation manuelle et de tests, nous engageons des tiers de confiance pour enrichir nos recherches internes, et nous facilitons la divulgation responsable des vulnérabilités avec des incitations accrues autour d'un programme « bug bounty » amélioré.
Application des correctifs et remédiation des vulnérabilités basées sur les risques : L'objectif de ce programme amélioré de gestion des vulnérabilités est de découvrir et traiter rapidement tous les problèmes potentiels. Bien que cela puisse naturellement provoquer, au début, une augmentation des découvertes et des divulgations, nous investissons davantage dans les ressources d'ingénierie, la technologie et les processus de workflow, afin de soutenir une approche basée sur les risques qui réduira le délai moyen d'application des correctifs pour les vulnérabilités produit les plus dangereuses pour les systèmes de nos clients.

3. Fournir un meilleur support aux déploiements de produits sécurisés sur le terrain.

Accessibilité des ressources et de la documentation de sécurité sur le portail de la communauté : Nos clients vont constater des améliorations dans le portail de la communauté dans les mois à venir, notamment une fonction de recherche améliorée optimisée par IA pour des résultats mieux organisés, en fonction des produits spécifiques qu'un client utilise. Cela inclura les informations sur les correctifs et la documentation. Nous allons aussi améliorer l'engagement de sécurité des clients, grâce à l'implémentation d'un cycle de commentaires axé sur le client, ainsi que d'autres améliorations de l'expérience utilisateur basées sur l'application des meilleures pratiques de sécurité dans les environnements client.
Déploiement d'un système de serveur vocal interactif (IVR) amélioré et plus intelligent : Nous nous engageons à fournir à nos clients le support dont ils ont besoin, vite et bien. Dans les mois à venir, nous allons implémenter un serveur vocal interactif (IVR) alimenté par IA, qui va améliorer l'expérience des clients en matière de routage des appels, alerter les clients des informations de sécurité relatives à leur produit et ouvrir automatiquement des dossiers de support sur demande.
Collaboration avec les clients pour la mise à niveau vers les plateformes les plus récentes : Tandis que nous travaillons à renforcer la sécurité de nos dernières versions, il est également important que nos clients puissent bénéficier de ces améliorations en exécutant nos plateformes les plus faciles à prendre en charge et les plus sécurisées. Nous collaborons avec nos clients pour réduire les frictions (contractuelles, techniques ou financières) afin de faciliter l'adoption des solutions les plus récentes et les plus sécurisées, ainsi que des améliorations de sécurité conçues pour se protéger contre le paysage actuel des menaces.
Surmonter les obstacles pratiques à l'hygiène de sécurité des périphériques sur site : Nous savons que, dans la réalité, l'administration des réseaux d'entreprise consiste à trouver l'équilibre entre réalité pratique et contraintes. Quand nos clients ont besoin d'une solution entièrement sur site, nous nous engageons à les aider à fonctionner dans ces limites sans compromettre la sécurité du système. [Dans les semaines à venir,] nous allons travailler avec nos clients sur site pour leur communiquer les leçons que nous avons apprises et leur enseigner les meilleures pratiques pour exploiter leurs solutions dans l'environnement actuel.

4. Partager les informations avec nos clients et la communauté.

Partage et transparence des informations : Avoir des relations client saines est indispensable à la réussite de notre entreprise et notre solide engagement auprès des clients, ainsi que leurs commentaires tout au long de cet incident, nous ont apporté d'énormes avantages mutuels. Nous voulons nous assurer que cela continue. Nos clients et partenaires doivent s'attendre à ce qu'Ivanti partage les leçons apprises. Nous prévoyons également de poursuivre les échanges entre nos clients et des experts externes, de lancer une série de blogs dédiés liés au paysage actuel des menaces, et d'organiser des webinars et des tables rondes pour aborder les notions de confidentialité et de sécurité avec notre communauté.
Création d'un Conseil des clients (Customer Advisory Board) : Les commentaires de nos clients devront guider et permettre d'ajuster chacune des initiatives ci-dessus. Nous allons institutionnaliser ce processus et nous annoncerons dans les semaines à venir des plans visant à recueillir les commentaires des clients concernant le développement des produits, la priorisation des fonctions, les problèmes de sécurité et les décisions stratégiques concernant nos feuilles de route produit.