FAQ

L’Institut national de test de cybersécurité NTC ne mène pas ses activités dans l’objectif de faire des profits, mais uniquement dans l’intérêt de la société et de l’économie suisses. Le financement des activités de l’association est principalement assuré par les pouvoirs publics.

Non, le NTC est une association à but non lucratif indépendante, constituée selon le droit suisse.

Non. Le NTC ne réalise pas de tests pour le compte de fournisseurs de produits, de fabricants ou de prestataires de services du secteur privé. Les mandats de test en rapport avec les infrastructures critiques et les autorités ont la priorité absolue pour le NTC. Ces tests sont effectués de manière totalement indépendante. Toute influence sur l’objectivité du NTC est donc exclue.

Non. Afin de préserver la neutralité, aucune certification n’est effectuée selon des normes internationales ou nationales qui pourraient être utilisées par des fournisseurs de produits, des fabricants ou des prestataires de services pour renforcer leur position sur le marché.

Non, le NTC teste en grande partie de sa propre initiative, et donc à ses propres frais, les vulnérabilités de produits qui ne seraient pas testés autrement. Il s’agit typiquement de produits numériques et d’infrastructures en réseau pour lesquels il n’y a pas de responsables (p. ex. conseils d’administration), pas de réglementation suffisante ou d’autres mandants ou pour lesquels le marché de la vérification ne fonctionne pas.

Sans le NTC, ces produits et systèmes importants pour la société ne seraient souvent même pas testés. Dans la pratique, on constate même que les activités du NTC génèrent de nouveaux projets pour le secteur privé. En mettant en évidence les vulnérabilités, le NTC renforce la sensibilisation à la sécurité au sein des organisations concernées. Elles reconnaissent l’importance et l’urgence du sujet et cherchent souvent du soutien auprès de fournisseurs privés de cybersécurité.

Oui, le NTC étudie sur mandat la cybersécurité des infrastructures critiques et des autorités afin de garantir la sécurité et l’indépendance de la Suisse. Pour ce faire, il coopère avec des entreprises du secteur privé plutôt que de leur faire concurrence. Si les audits peuvent également être réalisés par des entreprises suisses de sécurité informatique, les prestations offertes par le CTN doivent être rémunérées conformément au marché. Le NTC ne fait pas activement concurrence aux entreprises de sécurité privées.

Les projets d’initiative sont des tests de produits numériques et d’infrastructures en réseau initiés et financés par le NTC dans le but de découvrir des vulnérabilités. Le NTC décide de manière autonome de ce qui doit être testé et avec quelle intensité, en se basant sur les expériences, les observations et les indications des partenaires ou du public. Les résultats sont publiés conformément à la NTC Vulnerability Disclosure Policy afin de les rendre accessibles au grand public.

Non, on sait que tous les exploitants d’infrastructures critiques ne peuvent pas accorder la même priorité à la cybersécurité, car ils ne disposent peut-être pas des compétences et des ressources suffisantes. Lorsque le NTC soupçonne, sur la base d’expériences, d’observations et d’indications, que le système d’un exploitant d’infrastructure critique pourrait être affecté par des vulnérabilités, il initie ponctuellement des tests de sécurité.

Non, mais dans certaines circonstances, le nom des fabricants et celui des produits concernés par une faille de sécurité peut être publié. Si aucune vulnérabilité n’a été trouvée sur un produit, aucune information ne sera publiée, car cela enverrait un faux signal de sécurité. Les fabricants n’ayant reçu aucun rapport quant à une faille de sécurité ne doivent pas être incités à cesser tout investissement dans la cybersécurité. Le fait que le NTC n’ait trouvé aucune vulnérabilité ne signifie pas qu’il n’y en ait aucune.

La manière dont les projets d’initiative sont structurés en tant que projets non mandatés soulève une série de questions quant à un éventuel risque de sanctions pénales conformément au droit suisse. Les responsables du NTC ont voulu comprendre précisément la situation juridique suisse afin de respecter les règles applicables lors des tests.

L’expertise peut être téléchargée ici. Elle est disponible en allemand. Le résumé est disponible en allemand, anglais, français ainsi qu’en italien.

Le NTC est convaincu que la divulgation responsable des vulnérabilités contribue de manière importante à l’amélioration de la sécurité de la Suisse. Comme précisé dans la NTC Vulnerability Disclosure Policy, en publiant les failles de sécurité, le NTC poursuit trois objectifs :

1) Premier signalement privé auprès du vendeur afin d’assurer une correction rapide et efficace des vulnérabilités et de protéger les systèmes concernés. 

2) Diffusion publique d’informations sur les schémas de vulnérabilité, afin de s’assurer qu’ils ne se reproduisent pas. 

3) Diffusion publique afin de signaler les failles de sécurité, pour que les utilisateurs puissent prendre leurs propres mesures de sécurité. Cela vaut notamment en cas d’absence ou de retard de mise à disposition de correctifs par les vendeurs.

Le NTC reste en contact avec l’organisation concernée tout au long du processus de divulgation des vulnérabilités et s’efforce de trouver la solution qui soit la plus avantageuse pour toutes les parties. La NTC Vulnerability Disclosure Policy prévoit une certaine flexibilité dans la précision des informations divulguées Toutefois, la publication des vulnérabilités est inévitable.

Non. La NTC Vulnerability Disclosure Policy établit des règles claires qui déterminent dans quels cas les détails concernant le fabricant, le produit ou la vulnérabilité seront publiés. Ni le nom du produit et du fabricant ni la description détaillée de la vulnérabilité ne seront publiés si les conditions suivantes sont remplies : 

• Le fabricant corrige la vulnérabilité sans que les personnes concernées n’aient à prendre une quelconque mesure (p. ex. sur un service Cloud, où l’utilisateur n’a aucun correctif à installer).
• Rien n’indique que la vulnérabilité a été exploitée (p. ex. dans les fichiers journaux).

Non. Le NTC est indépendant, et ne transmet normalement aucune information sur les vulnérabilités à l’Office fédéral de la cybersécurité (OFCS) ou à d’autres tiers. Le NTC signale directement les vulnérabilités au vendeur ou à l’exploitant du système, dans le respect de la Politique de divulgation des vulnérabilités du NTC et des directives de la Coordinated Vulnerability Disclosure (CVD) de l’OFCS:

Vous avez découvert une vulnérabilité dans un système informatique ou encore dans une application, un logiciel ou du matériel informatique disponible sur le marché et vous souhaitez la signaler? La règle d'or à suivre consiste à signaler la vulnérabilité directement au vendeur ou au propriétaire du système. S'ils ne réagissent pas à votre annonce ou si leur réponse est insuffisante, l'OFCS peut servir d'intermédiaire pour résoudre le problème de sécurité.

Comme le suggère la CVD de l’OFCS et l’établit la NTC Vulnerability Disclosure Policy, le NTC peut informer les autorités publiques telles que l’OFCS si le vendeur n’est pas joignable ou si ce dernier n’est pas en mesure ou refuse de remédier à la vulnérabilité.

Idéalement, le NTC sera impliqué dans le processus de développement des correctifs et le NTC encourage les fournisseurs à collaborer avec les testeurs du NTC afin de s’assurer que les correctifs sont corrects et complets. Souvent, un patch de code source est directement proposé pour corriger le bug sous-jacent. Dans les cas complexes, le NTC collabore généralement avec les chargés de maintenance de logiciels pour élaborer une solution adéquate et la vérifier.

Les testeurs du NTC se tiennent à disposition afin de fournir des feedbacks durant le processus de développement du correctif, et le NTC invite les vendeurs à entrer en contact avec ses testeurs s’ils ont des questions ou des idées dont ils aimeraient discuter. Il y a déjà eu plusieurs cas où le correctif initial était incomplet ou introduisait par inadvertance une autre vulnérabilité, et où le NTC a alors travaillé avec le gestionnaire/vendeur pour trouver une solution adéquate.

Le NTC donne souvent des indications supplémentaires sur les possibilités de durcir le code, de réduire la surface d’attaque, d’améliorer la conception, de tester et ainsi de suite. Cela conduit souvent à des améliorations structurelles qui vont au-delà d’une simple correction de bug. La collaboration sur ces améliorations structurelles est un objectif spécifique du NTC et est considérée comme une composante clé de son travail à long terme.

Les nouvelles vulnérabilités sont généralement publiées sur le NTC Vulnerability Hub :

• https://hub.ntc.swiss

Par ailleurs, une sélection de vulnérabilités pertinentes peut également être publiée dans d’autres publications telles que des rapports succincts, des avertissements publics, des communiqués de presse, des newsletters, etc. La plupart de ces publications sont mises à disposition dans la rubrique Actualités du site web du NTC :

• https://fr.ntc.swiss/news

Tout d’abord, il est important de souligner que l’écrasante majorité des failles de sécurité est résolue dans les délais impartis. Nous sommes convaincus que la divulgation de quelques vulnérabilités non corrigées n’aide pas réellement les hackers à court terme, mais qu’à long terme, elle permet de réduire les délais de mise en place des correctifs et d’augmenter la fréquence des cycles de correction, comme cela a été démontré.

Comme présenté dans la NTC Vulnerability Disclosure Policy, la publication est moins détaillée lorsqu’aucun correctif n’est disponible. Dans une telle situation, nous pouvons également signaler la vulnérabilité à l’Office fédéral de la cybersécurité (OFCS).

Le NTC invite les organisations à mettre en place une politique de divulgation des vulnérabilités (Vulnerability Disclosure Policy - VDP) établissant un cadre clair dans lequel les experts en sécurité pourront signaler les vulnérabilités de manière simple et sécurisée, sans avoir à craindre de quelconques répercussions judiciaires.

Un fichier "/.well-known/security.txt" sur le site web est d’une grande aide pour les experts en sécurité. Le standard "security.txt" permet de trouver rapidement le contact de sécurité compétent sur le site web d’une organisation. La norme prévoit qu’un fichier texte nommé "security.txt" soit placé dans le répertoire prédéfini "/.well-known" sur le site web de l’organisation. Ce fichier contient au moins les données de contact qui peuvent être utilisées pour entrer en contact avec le contact de sécurité compétent d’une organisation. En outre, d’autres informations relatives à la sécurité peuvent y être enregistrées.

En voici un exemple: ncsc.admin.ch/.well-known/security.txt

Autres ressources pouvant aider à mettre en œuvre une politique de divulgation des vulnérabilités :

• Security.txt - Enregistrez un contact de sécurité sur votre site Internet
• Guide de l’OFCS: Vulnerability Disclosure Management - Guide pour les organisations et les entreprises
• Divulgation de vulnérabilités - OWASP Cheat Sheet Series (en anglais)

Le réseau de compétences est un pool de spécialistes en cybersécurité de Suisse et de l’étranger. Le réseau est régulièrement contacté par le NTC lorsqu’une expertise supplémentaire est nécessaire. Cela permet de s’assurer que les compétences nécessaires sont disponibles et que les demandes peuvent être traitées avec la qualité requise.