Une de nos valeurs fondamentales chez Devolutions, c’est d’être transparents dans toutes nos actions. C’est pourquoi je suis très heureux de vous annoncer qu’à partir d'aujourd'hui, nous allons publier des avis de sécurité dès qu’une vulnérabilité est découverte et corrigée dans nos produits.
À propos des avis de sécurité
Les avis de sécurité donnent de l’information sur les vulnérabilités logicielles récemment découvertes et incluent des détails comme : la nature de la vulnérabilité, sa sévérité, quelles versions sont touchées, les correctifs apportés et les solutions à envisager. Les principaux créateurs de logiciels ont pris l’habitude de partager de genre d’informations. C’est d’ailleurs une pratique cruciale pour aider les administrateurs réseau et les équipes TI à évaluer leur exposition aux mises à jour et à les classer par ordre de priorité.
Évidemment, la meilleure pratique sera toujours d’apporter constamment et fréquemment des correctifs. Le hic, c’est que la plupart des mises à niveau viennent avec leurs propres défis. En agissant en connaissance de cause, c’est-à-dire en possédant des informations spécifiques sur les vulnérabilités, on peut mieux évaluer les risques pour l’entreprise et décider à quelle vitesse ces dernières doivent être traitées.
Chaque vulnérabilité reçoit un numéro CVE (Common Vulnerabilities and Exposures) qui l'identifie de manière unique. C’est l’organisme à but non lucratif MITRE qui attribue tous les CVE. Celles-ci peuvent en tout temps être recherchées dans les bases de données publiques comme la NVD (National Vulnerability Database). Elles sont également utilisées dans différents outils comme les systèmes de gestion des stocks et les scanneurs de sécurité qui permettent aux entreprises d'identifier plus facilement leurs actifs vulnérables.
Commentaires du Chef de la sécurité, Martin Lemay :
« Publier des avis de sécurité, ce n’est pas aussi facile que ça en a l’air. Ça nécessite l'implication de plusieurs personnes et différents processus pour arriver à synchroniser les publications selon les bonnes versions de logiciels. On doit par exemple :
-
Corriger les vulnérabilités signalées sur toutes les versions prises en charge.
-
Documenter et sauvegarder les CVE avant la date de sortie.
-
Documenter les avis de manière à révéler suffisamment d'informations sur les problèmes de sécurité, sans exposer les clients à des risques inutiles.
-
Mettre à jour le site Web au moment exact de la publication.
Si, pour une raison quelconque, la date de sortie est reportée, tout doit rester synchronisé avec la nouvelle date! Tout ça, évidemment, sans affecter le niveau de productivité.
Je suis extrêmement fier de travailler pour une entreprise qui s'engage à aller de l'avant avec des initiatives de sécurité d'envergure et qui fait preuve de transparence et d'honnêteté dans l’ensemble de ses pratiques. Oui, des erreurs, ça peut arriver à tout le monde. Chez Devolutions, on s’efforce de les résoudre rapidement et d'informer nos clients des problèmes et de leurs solutions. Comme le mentionnait Simon Sinek : ‘‘La confiance, ça se bâtit en disant la vérité, pas en disant aux gens ce qu'ils veulent entendre.’’
Cette initiative fera désormais l'objet d'un suivi constant pour son amélioration. On travaille également sur des projets axés sur la transparence. Restez à l’affût! »
Signaler un problème de sécurité
Vous avez des questions concernant nos avis de sécurité ou tout autre aspect de notre programme de sécurité? Écrivez-nous à security@devolutions.net.
On vous invite aussi à nous contacter pour signaler un problème de sécurité! On vous remercie d’avance de nous aider à s’assurer que nos produits respectent en permanence les normes les plus élevées en matière de sécurité des données.