Lors de la conférence annuelle RSA 2024 sur la cybersécurité, les technologies de sécurité et la protection des données qui s'est récemment tenue aux États-Unis, Fortinet a réaffirmé son engagement à devenir une unité de sécurité transparente et responsable, en étant le pionnier de la signature d'un engagement à se conformer aux réglementations Security by Design élaborées par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.

Il s'agit d'un engagement volontaire envers le secteur de la sécurité qui s'appuie sur les meilleures pratiques de sécurité logicielle existantes de Fortinet, ainsi que sur celles développées par la CISA, le National Institute of Standards and Technology (NIST), d'autres agences fédérales américaines et des partenaires industriels et internationaux. L'engagement décrit les objectifs, notamment les politiques de divulgation responsable des vulnérabilités, qui font partie intégrante du processus de développement de la sécurité des produits de Fortinet.

La dernière initiative de CISA s'aligne sur les processus de développement de produits existants de Fortinet basés sur les principes de sécurité par conception et de sécurité par défaut. Fortinet s'engage à assurer une surveillance rigoureuse de la sécurité des produits à toutes les étapes du cycle de développement du produit, contribuant ainsi à garantir que la sécurité est intégrée à chaque produit du début à la fin, de la manière suivante.

Cycle de vie de développement de produits sécurisé (SPDLC) : Fortinet aligne ses processus sur les principales normes, notamment NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 et le UK Telecommunications Security Act.

Tests rigoureux des produits de sécurité : Fortinet s'appuie sur des outils et des techniques tels que les tests de sécurité des applications statiques (SAST) et l'analyse de la composition logicielle intégrés au processus de création, les tests de sécurité des applications dynamiques (DAST), l'analyse des vulnérabilités et le fuzzing avant chaque version, ainsi que les tests de pénétration et la révision manuelle du code.

Fournisseurs de confiance : pour garantir une sélection rigoureuse et une évaluation précise des capacités des principaux partenaires de fabrication, Fortinet adhère à la norme NIST 800-161 : Pratiques de gestion des risques de la chaîne d'approvisionnement en cybersécurité pour les systèmes et les organisations. L'engagement de Fortinet en matière de confidentialité et de sécurité des données se reflète dans tous les aspects des opérations commerciales de l'entreprise et à chaque étape du développement, de la fabrication et de la distribution des produits.

Programme de sécurité de l'information : Le programme de sécurité de l'information de Fortinet est développé et conforme aux normes et cadres de sécurité de pointe du secteur, notamment ISO 27001/2, ISO 27017 et 27018 et NIST 800-53, ainsi qu'aux réglementations sur la confidentialité des données telles que GDPR et CCPA.

Certifications tierces : les produits Fortinet sont régulièrement certifiés et validés par des normes de qualité de produits tierces, notamment NIST FIPS 140-2 et NIAP Common Criteria NDcPP / EAL4+.

De plus, l'équipe de réponse aux incidents de sécurité des produits (PSIRT) de Fortinet est chargée de maintenir les normes de sécurité des produits Fortinet et gère l'un des programmes PSIRT les plus robustes du secteur, notamment la divulgation proactive et transparente des vulnérabilités. Près de 80 % des vulnérabilités de Fortinet découvertes en 2023 ont été identifiées grâce au processus de test interne rigoureux de l'entreprise. Cette approche proactive aide Fortinet à développer et à déployer des correctifs avant que l’exploitation de logiciels malveillants ne puisse se produire. Fortinet travaille également en étroite collaboration avec les clients, les chercheurs en sécurité indépendants, les consultants, les organisations industrielles et d'autres fournisseurs pour garantir les meilleures capacités de réponse aux incidents de sécurité.

Afin de renforcer encore notre engagement en faveur d’une culture de transparence radicale et de conduite commerciale responsable, Fortinet entretient des partenariats à long terme avec des partenaires publics et privés qui s’alignent sur notre mission.

Phan Minh