13 avril 2023
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) du CST s’est joint à la Cybersecurity and Infrastructure Security Agency (CISA), au Federal Bureau of Investigation (FBI) ainsi qu’aux partenaires internationaux suivants pour fournir des recommandations aux fabricants de produits de technologies de l’information (TI) concernant l’utilisation de principes de sécurisation par défaut et dès la conception dans le développement de leurs produits :
- Australian Cyber Security Centre (ACSC);
- Computer Emergency Response Team de la Nouvelle-Zélande (CERT NZ);
- National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
- National Cyber Security Centre du Royaume-Uni (NCSC-UK);
- Federal Office for Information Security (BSI) de l’Allemagne;
- National Cyber Security Centre des Pays-Bas (NCSC-NL).
Le nouveau guide souligne la nécessité de transférer aux fabricants la charge des risques liés à la cybersécurité pesant actuellement sur les clientes et clients, en les encourageant à concevoir des produits qui sont sécurisés par défaut et dès la conception.
La technologie est intégrée à de nombreuses facettes de la vie quotidienne. Les systèmes connectés à Internet sont également connectés à des systèmes essentiels qui ont une incidence directe sur nos moyens de subsistance, tels que la gestion de l’identité personnelle et les soins de santé. Les technologies non sécurisées et les vulnérabilités dans les systèmes essentiels peuvent occasionner des cyberincidents et mener à des risques graves pour la sécurité. Les brèches de cybersécurité entraînent des conséquences tangibles pour de nombreuses personnes.
Le fardeau de la cybersécurité, et ultimement de la sécurité des clientes et clients, retombe actuellement sur les utilisatrices et utilisateurs finaux, c’est-à-dire les organisations ainsi que les clientes et clients des produits de TI. Ils doivent consacrer d’importantes ressources afin de rester au fait des nouvelles menaces et d’adopter des processus et pratiques de sécurité visant à contrer ces menaces. Depuis trop longtemps, l’industrie de la technologie et la collectivité de la sécurité ont renvoyé la responsabilité quant à la protection des systèmes et de l’information aux utilisatrices et utilisateurs finaux ainsi qu’aux clientes et clients. Les changements proposés dans le guide sont nécessaires afin de garantir un meilleur avenir en matière de cybersécurité pour toutes et tous.
Pour ce faire, les fabricants et les fournisseurs doivent créer et expédier des produits technologiques sûrs, donc des produits qui sont sécurisés dès la conception (la sécurité est prise en compte dès la phase de développement, et non après coup) et sécurisés par défaut (prêts à être employés en toute sécurité, avec aucun changement nécessaire à la configuration [ou très peu] et sans frais additionnels). Les produits sécurisés dès la conception permettent d’assurer que la sécurité des clientes et clients est une exigence opérationnelle de base, et pas uniquement une fonction technique. Nous devons veiller à ce que les utilisatrices et utilisateurs finaux, c’est-à-dire tous les Canadiens et Canadiennes, ne soient pas responsables de prévenir les brèches de cybersécurité causées par des défauts de conception des produits. Les fabricants sont invités à concevoir leurs produits d’une façon qui n’oblige pas les clientes et clients à surveiller leurs systèmes, à appliquer les mises à jour courantes et à limiter les dégâts constamment dans le but d’atténuer les cyberintrusions.
Nous devons travailler à conférer la charge de la cybersécurité aux fabricants de produits de TI plutôt qu’aux personnes et organisations clientes. Ce transfert de responsabilité est essentiel afin de créer un avenir qui mise sur la sécurité technologique de toutes et de tous.
Pour obtenir de plus amples renseignements, veuillez lire le guide (disponible en anglais seulement).