Le leader de la surveillance est désormais habilité à signaler les vulnérabilités dans le cadre du mécanisme MITRE
Le 8 avril 2021 - Axis Communications, leader du marché de la vidéosurveillance sur IP, a été approuvé en tant qu’autorité de numérotation des vulnérabilités et expositions communes (CVE, Common Vulnerability and Exposures), ou CNA (CVE Numbering Authority), pour les produits Axis. L’entreprise peut désormais s’aligner sur le processus standard de The MITRE Corporation. En tant qu’organisme à but non lucratif, MITRE œuvre pour l’intérêt public au bénéfice des administrations nationales et locales, des industriels et de la recherche.
Ce nouveau statut remplacera la méthode interne qu’Axis applique actuellement pour l’identification des vulnérabilités critiques (ACV, Axis Critical Vulnerability). À la place, il assurera la gestion des vulnérabilités selon la pratique standardisée du secteur. Les clients seront en mesure de bénéficier des services de notification de vulnérabilités proposés par MITRE pour mettre en place rapidement des méthodes de durcissement de la sécurité sur les produits et solutions Axis. Le programme CVE est largement reconnu par les professionnels. De nombreux outils d’analyse de la sécurité réseau ont recours à la base de données CVE de MITRE en tant que référence pour leurs analyseurs. Il permet aux entreprises de communiquer des descriptions uniformes des vulnérabilités dans une optique de coordination des efforts de sécurité. Ce nouveau statut permettra à Axis d’attribuer des identifiants CVE aux failles de sécurité détectées dans ses propres produits et dans ses firmwares, puis d’aviser les clients finaux des vulnérabilités au travers de leur équipement ou de leur outil d’analyse réseau. La standardisation de ce processus consolide le rôle d’Axis en tant qu’autorité de sécurité.
Sebastian Hultqvist, Global Project Manager chez Axis Communications nous livre son analyse : « Cette reconnaissance en tant qu’autorité CNA témoigne de nos efforts dans le domaine de la sécurité et souligne les bonnes pratiques de sécurité et de gestion des vulnérabilités mises en œuvre par Axis. La sécurité de nos produits et solutions est toujours une priorité, et nous sommes résolus à collaborer avec MITRE et nos clients pour que le processus de résolution des problèmes et des risques de sécurité soit aussi rapide et simple que possible. »
« Les acteurs malveillants n’ont pas d’états d’âme pour exploiter les failles de sécurité existantes et se frayer un accès aux réseaux. Cette nomination en tant que CNA nous permet de mieux accompagner nos clients dans la sécurisation de leurs données, de gagner en transparence à propos de nos processus et, en fin de compte, de renforcer la confiance. »
Le processus Axis d’identification des ACV sera remplacé par les CVE. Ces identifiants sont accessibles dans la base de données MITRE. Pour en savoir plus, reportez-vous à la page Sécurité des produits du site d’Axis.
Les CNA sont des entreprises du monde entier habilitées à attribuer des identifiants CVE aux vulnérabilités touchant les produits de leur périmètre d’action convenu pour les inclure dans les annonces publiques de nouvelles vulnérabilités. Les CNA constituent l’intermédiaire principal pour la demande d’un identifiant CVE.
Le programme CVE est une initiative internationale qui repose sur la communauté pour détecter et identifier les vulnérabilités. Elles sont ensuite publiées dans le registre CVE.
À propos du programme
Créé en 1999, le programme CVE (www.cve.mitre.org) fait aujourd’hui office de norme d’identification des vulnérabilités et des expositions de sécurité. Il est parrainé par l’équipe US-CERT du service de la cybersécurité et des communications au ministère américain de la sécurité intérieure (DHS, Department of Homeland Security). Le registre CVE est sous copyright de MITRE, qui opère en tant que centre public de R&D (FFRDC) du DHS. Les identifiants CVE, également dénommés CVE, codes CVE ou entrées CVE, constituent des points de référence pour l’échange de données dans une perspective d’intercommunication des produits et services de cybersécurité. Les identifiants CVE représentent également une référence pour évaluer les performances des outils et services, que les utilisateurs peuvent exploiter pour déterminer les solutions les plus efficaces et les plus adaptées aux besoins de leur organisation. Les produits et services compatibles CVE se caractérisent par une détection plus approfondie, une plus grande interopérabilité et un renforcement de la sécurité.
En créant des solutions qui renforcent la sécurité et améliorent la performance des entreprises, Axis contribue à un monde plus intelligent et plus sûr. Leader de son secteur dans les technologies sur IP, Axis propose des solutions en vidéosurveillance, contrôle d’accès, visiophonie et systèmes audio. Ces solutions sont enrichies par des applications d’analyse intelligente et soutenues par des formations de haute qualité.
L’entreprise emploie environ 4000 personnes dans plus de 50 pays et collabore avec des partenaires technologiques et intégrateurs de systèmes du monde entier pour fournir des solutions sur mesure à ses clients. Axis a été fondée en 1984, son siège est situé à Lund en Suède.