Rôle mondial de Red Hat dans la sécurité Linux

Chez Red Hat, nous entretenons des liens étroits avec la communauté Open Source, décentralisée, transparente et composée d'ingénieurs internationaux qui placent la sécurité au cœur des technologies. Le système d'exploitation Red Hat Enterprise Linux (RHEL) est utilisé par plus de 90 % des entreprises et clients du classement Fortune 500 dans plus de 174 pays. Cette confiance repose en grande partie sur la fiabilité et la stabilité de RHEL, ainsi que sur notre longue contribution active aux projets Open Source. 

S'il existe une idée fondée selon laquelle Linux est plus sécurisé que les autres systèmes d'exploitation, celle-ci est rarement prise en considération, et en réalité, toutes les distributions Linux ne se valent pas en matière de sécurité. Au fil des années, nous avons réalisé des investissements importants afin de fournir aux utilisateurs de RHEL les capacités nécessaires pour répondre aux exigences strictes de leur région et tirer pleinement parti des meilleures pratiques de sécurité. Cet article présente certains de ces investissements et leurs effets sur les utilisateurs dans trois domaines clés : la recherche et l'établissement de la feuille de route, le déploiement et la pratique, ainsi que la prise en charge de la sécurité après la vente. 

Recherche et établissement de la feuille de route

Variation des exigences de conformité dans le monde

Avec plus de 100 bureaux dans plus de 40 pays, nous avons conscience que les réglementations en matière de conformité peuvent énormément varier d'un pays à l'autre. Au cours de la phase de recherche et d'établissement de la feuille de route de RHEL, il est essentiel d'examiner les exigences auxquelles les utilisateurs sont et seront confrontés.

Par exemple, le transfert des données vers le cloud et la généralisation de l'IA, qui accède peu à peu à divers ensembles de données, suscitent constamment de nouvelles inquiétudes concernant la souveraineté des données. Nos clients sont issus de plusieurs secteurs et pays, ce qui nous permet de comprendre les exigences auxquelles ils sont confrontés en matière de contrôles, de gouvernance et d'attestations. Si vous souhaitez en savoir plus sur les réglementations spécifiques d'un pays, consultez la page consacrée aux validations et certifications de cybersécurité pour nos produits et services sur les marchés internationaux, qui continueront d'évoluer à mesure que de nouvelles réglementations seront introduites.

Surveillance des menaces

L'équipe produit cherche constamment à identifier les menaces qui pourraient se présenter. D'après une pratique développée par l'armée, si des membres de l'équipe produit identifient une menace ou un problème, ils créent un document appelé SBAR (Situation, Background, Assessment, Recommendation).

Ce document contient quatre informations clés : la description de la menace, ce qu'elle impliquera pour les clients et le produit, les chances de l'éliminer et les méthodes à appliquer pour y parvenir, ainsi que des recommandations sur les mesures que Red Hat doit prendre. Fidèle à la nature Open Source de l'entreprise, le SBAR est partagé avec tous les membres de Red Hat afin de recueillir des informations supplémentaires et de collaborer sur la recommandation la plus appropriée. Par exemple, sur la base d'un SBAR écrit des années plus tôt, un plan interne avait déjà été élaboré en avril 2022 sur la manière dont l'équipe produit devait relever le prochain défi, la cryptographie post-quantique. 

Pratiques liées au cycle de développement sécurisé

La sécurité logicielle doit être intégrée dès le début au développement. Notre approche suit directement le cadre NIST SSDF SP-800-218 (National Institute of Standards and Technology Secure Software Development Framework), les conseils de l'OWASP (Open Web Application Security Project) et diverses normes ISO. Chaque membre de l'équipe chargée de la sécurité des produits comprend les attentes liées au cycle de vie de la gestion sécurisée des logiciels, et sait comment appliquer les plans et processus qui permettent de mettre en œuvre ces pratiques. Pour en savoir plus sur les différents aspects de ce cadre, consultez l'article de la base de connaissances rédigé par notre équipe chargée de la sécurité des produits. 

Plusieurs intervenants pour réduire les risques

De nombreux fournisseurs participent à l'Open Source en lecture seule, c'est-à-dire qu'ils sont les seuls contributeurs d'un projet Open Source. Cette pratique est très courante, aussi bien dans les startups que dans les grandes entreprises technologiques. L'Open Source sert alors d'argument marketing pour faire adopter les technologies, sans égard pour son véritable potentiel : l'innovation. Ces entreprises souhaitent que vous utilisiez leurs logiciels Open Source, mais refusent les correctifs et les contributions, sauf s'il s'agit de documentation ou de groupes d'utilisateurs. Elles ne veulent pas de votre code. Elles veulent le contrôle total sur les projets afin de s'enrichir sur les projets commerciaux qu'elles ont créés à partir de ces logiciels Open Source.

Chez Red Hat, nous pensons que la véritable puissance de l'Open Source réside dans sa communauté, qui crée le code dans un processus collaboratif, avec un groupe de contributeurs du monde entier. Parmi toutes les idées échangées, seules les meilleures sont sélectionnées. Comme le disait Linus Torvalds, « avec suffisamment d'yeux, tous les bogues sont superficiels ». Dans une communauté sérieuse de contributeurs, si un participant se heurte à une difficulté, tout autre participant peut signaler ce problème au reste de la communauté. Tout le monde sait ce que font les autres. Si le problème ne peut pas être résolu, chaque participant peut se réapproprier le code pour tenter d'améliorer le projet. 

La nature ouverte, transparente et collaborative de l'Open Source communautaire réduit le risque de vulnérabilités malveillantes. Si tout le monde s'observe mutuellement et peut voir le code, il est beaucoup plus difficile d'introduire du code dangereux, que ce soit intentionnellement ou accidentellement.

Déploiement et pratique

Renforcement de la sécurité dès l'assemblage

Les produits Red Hat intègrent plusieurs couches de sécurité, notamment des configurations de sécurité par défaut, des contrôles d'accès basés sur le principe du moindre privilège et des vérifications de code rigoureuses. Les utilisateurs sont souvent séduits par la possibilité d'exploiter des profils de sécurité dotés de configurations par défaut. En choisissant une référence de sécurité, les équipes d'administration peuvent tirer parti de l'automatisation au moment de l'assemblage pour vérifier que la configuration respecte les meilleures pratiques en matière de conformité et de sécurité. Cette approche augmente l'efficacité et réduit les risques, tout en évitant les tâches manuelles après l'assemblage qui pourraient entraîner des erreurs humaines. 

Association de la sécurité et de l'efficacité

En 2024, nous avons lancé le mode image, une nouvelle méthode de déploiement de RHEL qui transforme la plateforme en image de conteneur. Le mode image suit une approche native pour les conteneurs pour l'assemblage, le déploiement et la gestion du système d'exploitation. Il propose un seul workflow afin de gérer l'ensemble de l'environnement informatique, des applications au système d'exploitation sous-jacent, à l'aide des mêmes outils et techniques. Ainsi, les équipes chargées de la sécurité peuvent utiliser les outils qu'elles maîtrisent déjà avec les conteneurs (l'analyse, la validation, la cryptographie, l'attestation et les bases du système d'exploitation), ce qui simplifie leur travail.

Mise à disposition d'informations sur la sécurité

De nouvelles menaces apparaissent chaque jour et les demandes qui pèsent sur les équipes informatiques augmentent sans cesse. C'est pourquoi Red Hat Insights aide les clients à identifier et signaler eux-mêmes les problèmes, à hiérarchiser les risques en fonction de leurs conséquences sur l'activité et à déclencher l'action suivante dans la chaîne d'outils d'automatisation. Insights offre des outils d'analyse de sécurité pour gérer les risques plus efficacement. Vous pouvez analyser vos systèmes pour détecter les CVE (Common Vulnerabilities and Exposures), recueillir les données des analyses et bénéficier de conseils de correction à partir d'une seule et même interface. 

Insights vous aide également à hiérarchiser vos mesures correctives en fonction de la sévérité, du type de risque et des effets des modifications sur votre environnement. Avec ce service, vous agissez de manière plus proactive en vérifiant la conformité aux politiques OpenSCAP, en corrigeant facilement les systèmes non conformes et en générant rapidement des rapports de conformité. Vous pouvez également l'utiliser pour détecter rapidement les signatures de logiciels malveillants actifs dans les systèmes de votre environnement de cloud hybride.

Prise en charge de la sécurité après la vente

Red Hat, un partenaire de confiance pour la sécurité

Chez Red Hat, nous accordons la priorité à la sécurité. Nous participons à des programmes coordonnés de divulgation responsable à l'initiative d'entreprises du secteur. Nous travaillons depuis des années avec ces entreprises ainsi qu'avec des partenaires internationaux et nationaux pour le partage et la collaboration en matière de données de sécurité.

Nous sommes l'une des rares entreprises dans le monde entier qui collaborent avec CVE.org sous le statut Root. Nous avons pour mission d'identifier, de définir et de répertorier les vulnérabilités de cybersécurité publiées. Nous cumulons les rôles Root et CNA (CVE Numbering Authority), ce qui signifie que le programme CVE nous autorise à attribuer des identifiants CVE aux vulnérabilités et à publier des enregistrements CVE.

Ainsi, lorsqu'ils prennent connaissance d'une nouvelle CVE, les utilisateurs savent qu'une équipe de spécialistes de la sécurité maîtrisant parfaitement RHEL a participé activement à l'évaluation de la vulnérabilité. Avant que ces vulnérabilités ne touchent nos produits, l'équipe enquêtait déjà sur les mesures de correction à appliquer.

Pour continuer à défendre les communautés Open Source essentielles à notre activité, nous détenons également le statut CNA-LR (CNA of Last Resort), ce qui nous permet d'attribuer des CVE et de les publier pour les vulnérabilités qui touchent les projets Open Source non couverts par une autre CNA.

Transparence en matière de sécurité, de vulnérabilités et de correction

Bien que RHEL passe en priorité, nous partageons activement les informations sur la sécurité et les vulnérabilités. La transparence fait partie de notre ADN. L'équipe chargée de la sécurité des produits vise à fournir des informations fiables qui aident à atténuer les risques en matière de sécurité et de confidentialité, et de veiller à ce qu'elles soient accessibles.

Au-delà des clients, la communauté entière collabore afin de mettre au point des correctifs et des stratégies de limitation pour l'ensemble des utilisateurs de Linux. Au nom de la communauté, il est important de maintenir la réputation de Linux comme l'un des systèmes d'exploitation les plus sécurisés au monde. Comme mentionné précédemment, cette approche communautaire s'applique également au code. Le code Red Hat est ouvert. Tout le monde est libre de l'examiner, de le vérifier, de le réviser et d'y contribuer.

Avec des pairs et des collègues du monde entier, nous participons au développement des pratiques de sécurité Open Source qui fournissent un cadre de base au secteur mondial de l'informatique. Au cours des 30 dernières années, nous avons ainsi contribué à la création d'OpenSCAP, adhéré à des organisations telles que l'OpenSSF et la CoSAI, et participé à OSV.dev. 

Perspectives pour les 30 prochaines années

Bien que nous ne soyons pas considérés comme une entreprise de sécurité au sens traditionnel, la sécurité a toujours été au cœur de nos produits. Le monde d'aujourd'hui n'est pas celui dans lequel Marc Ewing a créé la première distribution Linux, Red Hat Linux, en 1993. Personne ne peut prédire ce que réservent les 30 prochaines années, mais il est certain que les exigences de sécurité au niveau mondial continueront de jouer un rôle essentiel. 

Voici ce que nous continuerons à effectuer :

• Rechercher et mettre en place les feuilles de route nécessaires pour que les produits répondent aux besoins des clients en matière de sécurité dans le monde entier
• Concevoir les produits de manière à faciliter l'application de la sécurité au moment de l'assemblage, afin d'améliorer l'efficacité tout en réduisant les risques
• Aider les utilisateurs et la communauté Linux internationale à éliminer les menaces en participant activement à des projets axés sur la sécurité, tels que le programme CVE

Chez Red Hat, Linux et la sécurité de la communauté revêtent une importance capitale. Nous avons hâte de travailler avec vous sur cette mission. 

Suivez l'actualité sur la sécurité des logiciels Open Source en vous abonnant aux articles de blog.