En 2024, nous sommes devenus l’une des premières organisations à nous engager dans l’initiative Secure By Design de la CISA. En accord avec nos valeurs organisationnelles essentielles en matière de transparence, Secure by Design a été un guide puissant dans nos efforts constants pour évaluer et améliorer de manière continue nos pratiques de sécurité.
Nous avons récemment fêté le premier anniversaire de la publication de nos engagements en matière d’amélioration concernant l’initiative Secure by Design et nous souhaitons partager publiquement les progrès que nous avons réalisés au niveau des sept piliers fondamentaux de ce framework.
Je suis fier des progrès que nous avons réalisés cette année, mais bien sûr, de nouveaux projets se sont concrétisés et nous n’avons pas encore pleinement atteint tous nos objectifs. Attendez-vous donc à d’autres mises à jour et, très bientôt, à une nouvelle série d’engagements supplémentaires pour l’année à venir.
Nos engagements : bilan d’une année
Authentification multifacteur (MFA)
Notre engagement pour 2024 :
Nous nous engageons à publier la prise en charge des clés d’accès dans Sophos Central et à publier des statistiques en matière d’adoption pour ce mécanisme MFA plus puissant.
Comment avons-nous fait ?
En novembre 2024, nous avons lancé le support de clé d’accès disponible pour tous nos clients utilisant Sophos Central. Cette étape stratégique visait à améliorer la sécurité de l’authentification grâce à une expérience de connexion sans mot de passe et résistante au phishing. Depuis son lancement en décembre 2024, nous avons constaté une forte adoption, avec plus de 20% de toutes les authentifications sur Sophos Central utilisant désormais des clés d’accès.
En plus du lancement de la prise en charge des clés d’accès, nous sommes allés plus loin et empêchons désormais l’utilisation de mécanismes MFA anciens tels que les SMS. Les utilisateurs de Sophos Central qui s’appuient sur ces mécanismes anciens doivent s’inscrire soit à un mécanisme de type TOTP, des mots de passe à usage unique basés sur l’heure (Time-based One-Time Password), soit à un MFA basé sur une clé d’accès lors de leur prochaine connexion.
Figure 1 : Adoption des mécanismes MFA de Sophos Central entre décembre 2024 et juillet 2025
Mots de passe par défaut
Notre engagement pour 2024 :
Nous nous engageons à continuer d’interdire les identifiants par défaut dans tous les produits et services actuels et futurs.
Comment avons-nous fait ?
Nous avons maintenu ce principe de conception et continuerons de le faire dans le développement de nos produits. Les produits Sophos génèrent des identifiants uniques et forts ou demandent aux utilisateurs de fournir des mots de passe complexes lors de la configuration, afin de réduire le risque d’accès non autorisé.
Réduire l’impact de classes de vulnérabilité entières
Notre engagement pour 2024 :
Dans Sophos Firewall v21 (SFOS v21), nous nous engageons à conteneuriser les services clés liés à la gestion via Sophos Central pour ajouter des limites de confiance supplémentaires et l’isolement de la charge de travail. De plus, SFOS v22 inclura une refonte complète de l’architecture, qui permettra de mieux conteneuriser le plan de contrôle de Sophos Firewall , réduisant ainsi davantage la probabilité et l’impact des vulnérabilités RCE.
Comment avons-nous fait ?
Nous adoptons une approche priorisée basée sur les risques pour les charges de travail conteneurisées et avons fourni un meilleur isolement des charges de travail dans Sophos Firewall. En commençant par les services les plus importants et les plus exposés, les versions de SFOS v21 et SFOS v21.5 ont inclus la première de ces améliorations. Nous partagerons les détails des progrès que nous réalisons avec la réarchitecture du plan de contrôle de Sophos Firewall pour SFOS v22 dans un article à suivre, car il ne sera pas publié avant fin 2025.
Correctif de sécurité
Notre engagement pour 2024 :
L’exécution de la dernière version du firmware du pare-feu offre des avantages de sécurité supplémentaires au-delà de la réception des correctifs de sécurité par défaut. Dans cet esprit, nous nous engageons à publier d’ici septembre 2025 une fonctionnalité permettant aux clients de planifier automatiquement les mises à jour du firmware de Sophos Firewall (SFOS).
Comment avons-nous fait ?
Sophos prévoit d’inclure la possibilité de planifier automatiquement les mises à jour du firmware avec la sortie de SFOS v22 lorsqu’il sera publié plus tard en 2025. Aider nos clients à maintenir à jour leur firmware Sophos Firewall est une priorité pour nous afin de les aider à rester en sécurité. Actuellement, 99,41% des pare-feu de nos clients bénéficient de la réception automatique des correctifs au niveau du système d’exploitation, et ce dès leur publication, grâce à la large adoption de notre fonction de déploiement automatique des correctifs.
Politique de divulgation des vulnérabilités
Nos engagements pour 2024 :
-
Augmenter la transparence et enrichir les connaissances collectives du secteur en publiant des articles de blog qui analysent les conclusions et les leçons tirées au niveau de notre programme de divulgation des vulnérabilités.
-
Augmenter la récompense maximale offerte aux chercheurs en sécurité.
Comment avons-nous fait ?
Depuis notre dernier article datant du mois de juin 2024, nous avons continué à investir dans notre programme public bug bounty, à savoir ce formidable travail que les chercheurs partagent avec nous. Rien que cette année, nous avons examiné plus de 800 demandes bug bounty pour les produits Sophos. Nous avons récompensé, en offrant plus de 500 000 USD, la communauté des chercheurs depuis le lancement du programme en décembre 2017. Aujourd’hui, Sophos se classe parmi les meilleurs éditeurs de Bugcrowd offrant les récompenses les plus élevées par découverte valide.
Pour encourager et augmenter la probabilité de trouver des vulnérabilités critiques susceptibles d’avoir un impact sur les produits Sophos, nous avons apporté quelques améliorations clés cette année qui correspondent à nos engagements :
- Nous avons augmenté la récompense maximale proposée, pour notre produit Windows Intercept X, de 20 000 USD ; les chercheurs peuvent désormais gagner 80 000 USD pour une soumission P1.
- Nous avons ajouté une nouvelle récompense qui offre jusqu’à 50 000 USD pour une découverte P1 dans Sophos Central.
- Nous avons étendu notre programme premium bug bounty pour inclure des récompenses financières pour les vulnérabilités valides identifiées dans Taegis et Redcloak, suite à l’acquisition de Secureworks par Sophos plus tôt en 2025.
Nous prévoyons de partager les idées et les leçons tirées au niveau du programme bug bounty dans un article à suivre, plus tard cette année.
CVE
Notre engagement pour 2024 :
Nous nous engageons à étendre nos processus internes afin de publier systématiquement des CVE externes pour toutes les vulnérabilités internes identifiées d’une gravité élevée ou critique dans nos produits.
Comment avons-nous fait ?
Nous avons respecté cet engagement en élargissant nos processus internes pour garantir que toute vulnérabilité identifiée en interne et évaluée comme étant de gravité élevée ou critique fasse l’objet d’une publication CVE externe. Bien qu’aucune vulnérabilité, répondant à ce seuil de publication, n’ait encore été identifiée à ce jour, les processus mis à jour sont entièrement en place et prêts à soutenir une divulgation cohérente et transparente à l’avenir.
La publication transparente des CVE pour les problèmes découverts en interne aide nos clients à mieux comprendre la posture de sécurité de nos produits, favorise une prise de décision éclairée et reflète notre engagement envers les bonnes pratiques du secteur.
Preuves d’intrusions
Notre engagement pour 2024 :
Nous nous engageons à fournir des capacités d’intégration supplémentaires dans Sophos Central pour simplifier l’ingestion des logs d’audit au niveau de tierces parties, avec une mise en œuvre prévue avant juillet 2025.
Comment avons-nous fait ?
Bien que nous ayons réalisé des progrès majeurs visant à atteindre cet objectif, nous avons dû ajuster notre calendrier pour refléter les changements organisationnels importants et les nouvelles opportunités en matière de produits résultant de notre acquisition de Secureworks plus tôt en 2025.
Nous restons pleinement engagés dans cette démarche et continuerons à fournir des mises à jour au fur et à mesure que nous déploierons de nouvelles améliorations.
Étapes suivantes
Après avoir examiné nos progrès par rapport aux engagements que nous avons pris l’année dernière, nous nous concentrons désormais sur la route qui s’ouvre devant nous. Nous partagerons prochainement les engagements actualisés que nous prenons pour l’année à venir, en nous appuyant sur nos apprentissages, nos avancées et les points à améliorer. Notre mission reste la même : renforcer continuellement la sécurité, la transparence et la fiabilité de nos produits, conformément aux principes de Secure by Design.
Billet inspiré de Sophos’ Secure by Design 2025 Progress, sur le Blog Sophos.
