-
Les activités de l'Institut national de test pour la cybersécurité NTC ne sont pas à but lucratif, mais agissent exclusivement dans l'intérêt de la société et de l'économie suisses. Le financement des activités de l'association est principalement assuré par les pouvoirs publics.
-
Non, le NTC est une association indépendante à but non lucratif de droit suisse.
-
Non. Le NTC ne réalise pas de tests pour le compte de fournisseurs de produits, de fabricants ou de prestataires de services du secteur privé. Les mandats de test en rapport avec les infrastructures critiques et les autorités ont la priorité absolue pour le NTC. Elles sont effectuées en toute indépendance. Toute influence sur l'objectivité du NTC est donc exclue.
-
Non. Afin de préserver la neutralité, aucune certification n'est effectuée selon des normes internationales ou nationales qui pourraient être utilisées par des fournisseurs de produits, des fabricants ou des prestataires de services pour renforcer leur position sur le marché.
-
Non, le NTC teste en grande partie de sa propre initiative, et donc à ses propres frais, les points faibles de produits qui ne seraient pas testés autrement. Il s'agit typiquement de produits numériques et d'infrastructures en réseau pour lesquels il n'y a pas de responsables (p. ex. conseils d'administration), pas de réglementation suffisante ou d'autres mandants ou pour lesquels le marché de la vérification ne fonctionne pas.
Sans le NTC, ces produits et systèmes importants pour la société ne seraient souvent même pas testés. Dans la pratique, on constate même que les activités du NTC génèrent de nouveaux projets pour le secteur privé. En mettant en évidence les points faibles, le NTC renforce la conscience de la sécurité au sein des organisations concernées. Elles reconnaissent l'importance et l'urgence du sujet et cherchent souvent du soutien auprès de fournisseurs privés de cybersécurité. -
Oui, le NTC étudie sur mandat la cybersécurité des infrastructures critiques et des autorités afin de garantir la sécurité et l'indépendance de la Suisse. Pour ce faire, il coopère avec des entreprises du secteur privé plutôt que de leur faire concurrence. Si les audits peuvent également être réalisés par des entreprises suisses de sécurité informatique, les prestations offertes par le CTN doivent être rémunérées conformément au marché. Le NTC ne fait pas activement concurrence aux entreprises de sécurité privées.
-
Les projets d'initiative sont des tests de produits numériques et d'infrastructures en réseau initiés par le NTC et financés par ce dernier, dans le but de découvrir des points faibles. Le NTC décide de manière autonome de ce qui doit être testé et avec quelle intensité, en se basant sur les expériences, les observations et les indications des partenaires ou du public. Les résultats sont publiés conformément à la Vulnerability Disclosure Policy afin de les rendre accessibles au public.
-
Non, on sait que tous les exploitants d'infrastructures critiques ne peuvent pas accorder la même priorité à la cybersécurité, car ils ne disposent peut-être pas des compétences et des ressources suffisantes. Lorsque le CNT soupçonne, sur la base d'expériences, d'observations et d'indications, que le système d'un exploitant d'infrastructure critique pourrait être affecté par des vulnérabilités, il initie ponctuellement des tests de sécurité.
-
La manière dont les projets d'initiative sont structurés en tant que projets non mandatés soulève une série de questions quant à une éventuelle punissabilité selon le droit pénal suisse. Les responsables du NTC ont voulu comprendre précisément la situation juridique suisse afin de respecter les règles pertinentes lors des tests.
-
Le NTC est convaincu que la divulgation responsable des vulnérabilités contribue de manière importante à l'amélioration de la sécurité de la Suisse. Comme le stipule la politique du NTC en matière de divulgation des vulnérabilités, le NTC poursuit trois objectifs en divulguant les failles de sécurité :
1) Dans un premier temps, les détails des vulnérabilités ne sont divulgués qu'au fournisseur afin de garantir une correction rapide et précise des vulnérabilités et de protéger les systèmes concernés.
2) Les modèles de vulnérabilité sont rendus publics afin que d'autres organisations puissent en tirer des enseignements et vérifier la présence des modèles identifiés dans leurs systèmes. En outre, ces informations servent à la recherche et aux fabricants pour développer des mesures et éviter les erreurs.
3) Rendre publics les vulnérabilités, les produits concernés et les fabricants pour les avertir des failles de sécurité, afin de permettre aux utilisateurs de prendre leurs propres précautions, notamment lorsque les fournisseurs ne fournissent pas de correctifs ou les fournissent avec retard. -
Le NTC reste en contact avec l'organisation concernée tout au long du processus de divulgation des vulnérabilités et s'efforce de trouver une solution qui soit la plus avantageuse pour toutes les parties. Conformément à la politique de divulgation des vulnérabilités du NTC, il existe une certaine flexibilité quant au degré de précision de la divulgation. Toutefois, le fait que les vulnérabilités soient rendues publiques est indéniable.
-
Non. Il existe des règles claires dans la politique de divulgation des vulnérabilités du NTC qui déterminent quand les détails concernant le fournisseur, le produit ou la vulnérabilité sont divulgués. S'il existe un intérêt public légitime à la divulgation des détails, ceux-ci sont communiqués.
-
Non. Le NTC est autonome et ne communique normalement pas d'informations sur les vulnérabilités au Centre national de cybersécurité NCSC ou à d'autres tiers. Le NTC signale les vulnérabilités directement au fournisseur ou au propriétaire du système, en se conformant à la politique de divulgation des vulnérabilités et aux recommandations de la politique de coordination du NCSC en matière de divulgation des vulnérabilités :
Vous avez découvert une vulnérabilité dans un système informatique ou dans des applications, logiciels ou matériels disponibles dans le commerce et vous souhaitez la signaler ?
La règle d'or est d'informer directement le fournisseur ou le propriétaire du système. Toutefois, si ces organisations ne réagissent pas à votre signalement ou si leur réponse est insuffisante, le NCSC peut servir d'intermédiaire pour résoudre de tels problèmes de sécurité.Comme le suggère la CVD du NCSC et comme l'indique la politique de divulgation des vulnérabilités du NTC, le NTC peut informer des organismes gouvernementaux tels que le NCSC si le fournisseur n'est pas joignable ou si le fournisseur ne peut ou ne veut pas corriger la vulnérabilité.
-
Idéalement, le NTC sera impliqué dans le processus de développement des correctifs et le NTC encourage les fournisseurs à collaborer avec les testeurs du NTC afin de s'assurer que les correctifs sont corrects et complets. Souvent, un patch de code source est directement proposé pour corriger le bug sous-jacent. Dans les cas complexes, le NTC collabore généralement avec les mainteneurs de logiciels pour développer et vérifier une solution correcte.
Les testeurs du NTC sont disponibles pour donner un feedback pendant le processus de développement du patch - une paire d'yeux supplémentaire sur un patch de sécurité peut faire une grande différence, c'est pourquoi le NTC encourage les fournisseurs à contacter les testeurs du NTC s'ils ont des questions ou des idées dont ils souhaitent discuter plus en détail. Il y a déjà eu plusieurs cas où le correctif initial était incomplet ou introduisait par inadvertance une autre vulnérabilité, et le NTC a alors travaillé avec le gestionnaire/fournisseur pour trouver une solution correcte.
Le NTC donne souvent des indications supplémentaires sur les possibilités de durcir le code, de réduire la surface d'attaque, d'améliorer la conception, de tester et ainsi de suite. Cela conduit souvent à des améliorations structurelles qui vont au-delà d'une simple correction de bug. La collaboration sur ces améliorations structurelles est un objectif spécifique du NTC et est considérée comme une composante importante à long terme de son travail. -
Le NTC encourage les organisations à mettre en place une politique de divulgation des vulnérabilités (Vulnerability Disclosure Policy - VDP) qui crée un havre de paix où les chercheurs en sécurité peuvent signaler les vulnérabilités de manière simple et sûre, sans craindre de conséquences juridiques.
Un fichier "/.well-known/security.txt" sur le site web est d'une grande aide pour les chercheurs en sécurité. Le standard "security.txt" permet de trouver rapidement le contact de sécurité compétent sur le site web d'une organisation. La norme prévoit qu'un fichier texte nommé "security.txt" soit placé dans le répertoire prédéfini "/.well-known" sur le site web de l'organisation. Ce fichier contient au moins les données de contact qui peuvent être utilisées pour entrer en contact avec le contact de sécurité compétent d'une organisation. En outre, d'autres informations relatives à la sécurité peuvent y être enregistrées.En voici un exemple :
ncsc.admin.ch/.well-known/security.txt
Autres ressources pouvant aider à mettre en œuvre une politique de divulgation des vulnérabilités :
Security.txt - Déposer votre contact de sécurité sur votre site web (admin.ch)Vulnerability Disclosure Management - Un guide pour les organisations et les entreprises
Divulgation de vulnérabilités - OWASP Cheat Sheet Series (anglais)
-
Le réseau de compétences est un pool de spécialistes en cybersécurité de Suisse et de l'étranger. Le réseau est régulièrement contacté par le NTC lorsqu'une expertise supplémentaire est nécessaire. Cela permet de s'assurer que les compétences nécessaires sont disponibles et que les demandes peuvent être traitées avec la qualité requise.