En mai 2018, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a suscité de nombreuses interrogations quant aux enjeux et aux obligations en matière de protection des données. En collaboration avec le partenaire Provectio, j’ai réalisé à l’époque — alors que j’étais encore chez Sophos — une présentation sous forme de vidéo, diffusée en juillet 2018, pour répondre à ces questions.
Même deux ans plus tard, les principes fondamentaux énoncés par cette réglementation restent plus que jamais d’actualité. Les thématiques abordées dans cette présentation continuent en effet de guider les organisations dans leur démarche de conformité et de protection du capital data.
Il est essentiel de rappeler que le RGPD a marqué un tournant majeur pour les entreprises, quelles que soient leur taille ou leur activité. Au-delà de la contrainte réglementaire, cette loi a sensibilisé un grand nombre d’acteurs à l’importance de mettre en place de bonnes pratiques pour sécuriser les informations qu’ils traitent au quotidien, et ce, dans un contexte où les cybermenaces et les exigences de transparence vis-à-vis des utilisateurs ne cessent de se renforcer.
Par ailleurs, cette dynamique de responsabilisation en matière de protection des données se poursuit aujourd’hui à travers d’autres réglementations internationales, illustrant l’impact durable du RGPD sur la gouvernance des données. Les bonnes pratiques de conformité — qu’il s’agisse d’audits réguliers, de formation des collaborateurs ou de mise à jour constante des politiques de sécurité — continuent de représenter un facteur clé de réussite dans la protection du patrimoine informationnel de toute organisation.
ZDI, un programme pionnier de la recherche de vulnérabilités : de 3Com à Trend Micro
L’histoire commence en août 2005, lorsque 3Com lance un programme de rémunération des chercheurs pour la découverte et la divulgation responsable de vulnérabilités zero-day. Baptisé Zero Day Initiative (ZDI), ce dispositif offre alors la possibilité aux clients de tirer parti des filtres IPS (TippingPoint) pour se protéger en amont. À ses débuts, ZDI ne recense qu’une seule vulnérabilité la première année ; aujourd’hui, ce nombre s’élève à près de 7 500, témoignant du chemin parcouru.
Des premiers succès aux années 2010
Au cours de ses premières années, le programme s’est rapidement hissé comme une référence en matière de recherche de vulnérabilités, notamment auprès d’éditeurs majeurs comme Apple et Oracle (via Java), alors très présents dans l’écosystème. Dans la même période, la réputation quasi « indestructible » des Mac a pu être challengée par les découvertes de la ZDI. L’élan technique a également permis de donner naissance à Pwn2Own, un événement dédié à la démonstration concrète des forces d’un bug bounty, où chercheurs et hackers éthiques mettent à l’épreuve les appareils les plus populaires.
Une évolution continue au fil des rachats
Le rachat de 3Com (et donc de la ZDI) par Hewlett-Packard (HP) n’a pas freiné l’essor du programme, bien au contraire. La réduction du délai de réponse aux vulnérabilités, passé de 180 jours à moins de 120, a contribué à faire de la divulgation responsable un nouveau « standard » sur le marché. Microsoft et Google ont, à leur tour, suivi cette tendance en créant leurs propres programmes de recherche.
Lors de l’acquisition de ZDI par Trend Micro en 2015, l’expertise s’est étendue à l’ensemble du portefeuille de solutions de l’éditeur, et plus uniquement aux IPS TippingPoint. Désormais, la recherche de vulnérabilités couvre un spectre plus large, incluant aussi bien des applications logicielles que des équipements matériels. L’édition spéciale de Pwn2Own consacrée aux environnements SCADA (et plus largement ICS) illustre à quel point les enjeux de la cybersécurité s’étendent désormais au-delà du simple PC ou serveur.
Logo Pwn2Own
Une proactivité nécessaire dans un environnement en constante mutation
Avec la progression du nombre de failles découvertes chaque année, la proactivité s’impose comme un levier essentiel pour protéger les systèmes en amont. Ainsi, en 2019, la ZDI était à l’origine de la publication de plus de la moitié des nouvelles vulnérabilités, scellant un partenariat inédit avec Tesla pour mieux sécuriser la Model 3. De simples liseuses PDF aux périphériques IoT et infrastructures ICS, toutes les technologies sont désormais concernées.
Au travers de mon expérience chez Trend Micro, j’ai pu constater l’apport considérable de la ZDI pour instaurer un climat de confiance entre les chercheurs, les éditeurs et les clients finaux. La collaboration et l’approche holistique de la sécurité renforcent la pertinence des correctifs et accélèrent leur déploiement.
Appliance Tipping Point
Si le Zero Day Initiative est un modèle en matière de divulgation responsable, il n’existe pas de solution miracle pour autant. Les vulnérabilités et l’obsolescence des systèmes sont des réalités avec lesquelles toute organisation doit composer. À vous de déterminer comment anticiper, gérer et atténuer ces risques, en vous appuyant sur des partenariats forts et une vision globale de la sécurité.
En définitive, être proactif et miser sur la collaboration entre tous les acteurs de l’écosystème demeurent les clés pour faire face aux menaces actuelles et futures. Alors… comment gérez-vous, vous aussi, vos vulnérabilités et l’obsolescence de vos systèmes ?
