TECH NEWS
Fortinet, premier signataire de la charte Secure by Design
En tant que l’un des premiers acteurs de la cybersécurité à signer la charte Secure by Design du CISA, Fortinet poursuit son engagement en faveur d’une culture de transparence radicale et responsable et fait de la sécurité de ses clients une priorité.
June 18, 2024
Bruxelles, le 17 juin 2024 – Fortinet ® (NASDAQ : FTNT), l’un des leaders mondiaux de la cybersécurité et acteur majeur de la convergence entre réseau et sécurité, compte parmi les premiers signataires de la charte Secure by Design conçue par la Cybersecurity and Infrastructure Security Agency (CISA). Cette charte vient en complément des bonnes pratiques existantes de Fortinet en matière de sécurité logicielle ; des pratiques qui s’inspirent des travaux de la CISA, du NIST ainsi que de partenaires internationaux évoluant dans la cybersécurité. La charte donne lieu à sept objectifs, notamment celui d’une divulgation responsable des vulnérabilités qui fait déjà partie des processus de sécurisation du développement de produit de Fortinet.
Jim Richberg, Head of Cyber Policy & Global Field CISO, Fortinet “Chez Fortinet, nous avons toujours été engagés sur le terrain de l’éthique et de la responsabilité en matière de développement produits et de divulgation de vulnérabilités. Dans ce contexte, Fortinet se conforme aux bonnes pratiques de l’industrie en vigueur et assure une sécurité optimale pour toutes les facettes de son métier. Nous saluons les initiatives de la CISA auxquelles notre secteur d’activité doit adhérer et valorisons la volonté de cette agence américaine de cybersécurité à collaborer avec Fortinet pour définir les initiatives et les objectifs qui en résultent. Nous incitons les autres acteurs technologiques à se joindre à ces efforts pour assurer la sécurité des toutes les organisations.”
Renforcer l’engagement de Fortinet envers l’approche Secure by Design et les processus de divulgation responsable des vulnérabilités
La nouvelle initiative de la CISA est en adéquation avec les processus de développement produits de Fortinet, ces derniers intégrant déjà les principes Secure by Design et Secure by Default. Fortinet s’engage à procéder à des évaluations précises de sécurité à toutes les étapes de développement de ses produits, s’assurant ainsi que la sécurité est intégrée systématiquement dans chacun de ses produits, de sa phase de conception jusqu’à sa fin de vie :
- Cycle de vie sécurisé du développement produit : les processus de Fortinet sont conformes aux dispositions des normes NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 et de la réglementation UK Telecom Security Act.
- Stratégie robuste de test de la sécurité des produits : Fortinet tire parti de nombreux outils et techniques : tests statiques de la sécurité des applications (SAST – static application security testing), analyse des composants logiciels intégrés dans le processus de conception des produits, tests dynamiques de la sécurité des applications (DAST – dynamic application security testing), analyse des vulnérabilités, fuzzing avant chaque sortie de version, tests de pénétration et audits manuels de code.
- Programme de fournisseurs de confiance : pour garantir une sélection rigoureuse de ses partenaires de production industrielle, Fortinet se conforme à la norme NIST 800-161 (Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations). Fortinet met l’accent sur la confidentialité et la sécurité des données dans tous ses domaines métiers et pour chaque phase de ses activités de développement produit, de production industrielle et de livraison.
- Programme de sécurité de l’information : le programme de sécurité de l’information de Fortinet est conforme aux exigences des principales normes du secteur (ISO 27001/2, ISO 27017 et 27018, NIST 800-53) et de réglementations sur la confidentialité des données comme le RGPD européen et le CCPA californien.
- Certifications par des tiers : les produits Fortinet sont régulièrement certifiés et validés selon des normes de qualité de produits tierces (NIST FIPS 140-2 et NIAP Common Criteria NDcPP / EAL4+).
Fortinet dispose d’une équipe en charge de répondre aux incidents de sécurité des produits (PSIRT). Son rôle est de rendre les produits Fortinet conformes aux normes de sécurité et de piloter un programme robuste de réponse aux incidents, avec notamment une divulgation proactive et transparente des vulnérabilités. Près de 80 % des vulnérabilités découvertes par Fortinet en 2023 sont le résultat d’audits internes. Cette approche proactive permet de concevoir des patchs qui sont déployés en amont de toute action malveillante potentielle. Fortinet collabore avec ses clients, des chercheurs indépendants en sécurité, des consultants, des organismes sectoriels et d’autres constructeurs pour mener à bien sa réponse aux incidents.
Pour renforcer son engagement en faveur d’une culture de transparence radicale et responsable, Fortinet a su nouer des partenariats avec des acteurs publics et privés :
- En tant que membre fondateur de la Network Resilience Coalition, Fortinet contribue à offrir des solutions concrètes pour protéger les réseaux et les données sensibles. Les problématiques de non-déploiement des mises à jour logicielles et matérielles font l’objet d’une attention particulière.
- Dans le cadre de son adhésion à la Joint Cyber Defense Collaborative (JCDC), un programme mis en œuvre par la CISA en 2021, Fortinet collabore avec des entités publiques et privées pour recueillir, analyser et partager des informations décisionnelles qui assurent une protection proactive contre les cybermenaces.
- En tant que membre fondateur de la Cyber Threat Alliance (CTA), Fortinet propose une veille actualisée sur les menaces, en collaboration avec d’autres professionnels de la sécurité, pour mieux protéger les clients contre les cybercriminels.
- En collaborant avec des leaders mondiaux en tant que membre fondateur du Centre for Cybersecurity (C4C) du Forum économique Mondial, Fortinet encourage le partage d’informations sur les menaces sur l’ensemble du secteur, pour ainsi maîtriser l’impact des cyberattaques et lutter contre les activités cybercriminelles.
Verbatims de marché
Michael Daniels, President and CEO, Cyber Threat Alliance (CTA): « À maintes reprises, dans de multiples secteurs d’activité, nous avons constaté que la transparence est un vecteur d’avantages pour le grand public et pour notre société. Ce constat s’applique à la cybersécurité. Dans notre secteur, la transparence est un concept qui englobe l’identification, la maîtrise et la divulgation des vulnérabilités de manière ouverte et responsable. Fortinet a déjà pris des mesures en faveur de cette transparence responsable, avec un ensemble de principes clairs pour gérer la divulgation et l’analyse des vulnérabilités. Le leadership de l’entreprise dans ce domaine illustre la façon dont les fournisseurs de cybersécurité devraient communiquer avec leurs clients et le grand public. »
Peter Jennings, Director, Strategic Analysis Australia and member of Fortinet’s Strategic Advisory Council: « L’engagement en faveur d’une approche Secure by Design intégrée au développement produit est un levier fondamental pour renforcer la sécurité. Nous voyons des acteurs comme Fortinet montrer la voie en suivant et en appliquant ces principes à l’échelle mondiale, principes d’ailleurs décrits, dans le cadre australien Essential Eight, comme un pas en avant significatif pour renforcer notre sécurité collective. »
General Sir Richard Sheriff, retired NATO General: « L’identification et l’évaluation des risques sont deux des leviers cruciaux de la gestion des risques que vous soyez sur un champ de bataille ou que vous protégiez un environnement informatique. L’approche de Fortinet en matière de transparence, de divulgation des vulnérabilités et de partage d’informations de veille sur les menaces est un exemple que l’ensemble du secteur de la cybersécurité devrait adopter.
Suzanne Spaulding, former Undersecretary at the U.S. Department of Homeland Security: « Dans l’environnement dynamique d’aujourd’hui, la transparence est essentielle pour rendre chaque entreprise plus sûre. Il est encourageant de constater que Fortinet compte parmi les pionniers d’une approche de transparence radicale et que cette entreprise s’investit dans le partage d’informations sur les vulnérabilités et les menaces. »
Admiral James Stavridis, Former 4-star Admiral and Supreme Allied Commander of NATO: « La collaboration entre les gouvernements et les entreprises du privé est et continuera d’être essentielle pour garder une longueur d’avance sur les cybermenaces. En tant que membre du conseil d’administration de Fortinet, je salue la façon dont ce leader de la cybersécurité travaille avec des acteurs publics et privés pour partager de manière transparente des informations sur les menaces et soutenir les efforts de sécurité nationale. »