À nos précieux clients et partenaires Ivanti, 

Notre entreprise fait de son mieux pour créer les solutions les plus sécurisées pour l'Everywhere Work. Les événements de ces derniers mois nous ont appris l'humilité et je voudrais vous expliquer directement les mesures que nous prenons pour garantir que nous en ressortirons plus forts et que nos clients seront mieux sécurisés. 

Comme de nombreuses autres entreprises du secteur, nous avons été témoins directs de la complexité croissante du paysage des menaces et de l'évolution spécifique des tactiques des pirates. Ces activités ont placé l'un de nos produits au premier plan des conversations concernant les incidents de sécurité récemment signalés. En réponse, nous avons travaillé avec diligence pour protéger et soutenir nos clients, et nous examinons de très près notre propre posture et nos processus pour garantir que nous sommes bien préparés à affronter le paysage actuel. 

Nous allons saisir cette occasion pour entamer une nouvelle ère chez Ivanti. Nous nous sommes mis au défi d'examiner d'un œil critique chaque phase de nos processus et chaque produit, afin d'assurer à nos clients un niveau de protection optimal. Nous avons déjà commencé à appliquer les leçons tirées des récents incidents pour apporter des améliorations immédiates à nos propres pratiques d'ingénierie et de sécurité. Et ce n'est que le début.

Nous mettons actuellement en œuvre un plan qui accélère les initiatives de sécurité déjà en cours et implémente des pratiques améliorées pour anticiper, prévenir et bloquer les menaces futures.  Nous avons fait appel aux experts de sécurité et de développement produit les plus reconnus du secteur pour soutenir l'examen de l'équipe Ivanti et fournir les meilleurs conseils d'exécution. Nous nous assurons ainsi de respecter notre engagement envers vous, pour que votre entreprise puisse travailler facilement, en toute sécurité et en toute confiance. Ce plan s'appuie sur un investissement important et bénéficie du plein soutien de notre Conseil d'administration et de l'ensemble du personnel Ivanti.

Et après ?

Nous nous engageons dans un vaste changement, qui transforme fondamentalement le modèle opérationnel de sécurité Ivanti.  Cela comprend :

  1. Repenser les pratiques de base en matière d'ingénierie, de sécurité et de gestion des vulnérabilités pour garantir que nos produits actuels sont sécurisés et que nos clients disposent des ressources voulues pour les déployer en toute sécurité dans leur entreprise. 
  2. Garantir que tous les produits que nous créons suivent une méthodologie sécurisée dès la conception, où la sécurité est considérée comme un facteur clé à chaque étape de cycle de vie du développement logiciel.
  3. Formaliser des partenariats avec les principales agences de cyberdéfense pour garantir que les produits Ivanti et les leçons que nous tirons de leur création améliorent l'ensemble de l'écosystème de sécurité.
  4. Partager des informations et apprendre avec nos clients... et solliciter activement leurs commentaires pour continuer à répondre à leurs besoins. 

Ci-dessous, je vous présente nos domaines d'action initiaux, et vous pouvez vous attendre à ce qu'ils continuent d'évoluer à mesure que nous progressons vers nos objectifs.  

Les défis auxquels nous sommes confrontés ne sont pas propres au secteur des logiciels et nous nous engageons à prendre toutes les mesures nécessaires pour montrer la voie aux autres. Les pirates évoluent constamment... et sachez que nous le ferons aussi.

Sur ce parcours, nos clients restent au centre de nos préoccupations. Vos intérêts et votre partenariat seront toujours notre priorité, aujourd'hui et à l'avenir.

Cordialement, 

Jeff Abbott

 

Nos plans pour l'avenir d'Ivanti

1. Renforcer la sécurité des produits et adopter les principes de sécurité dès la conception.

  • Appliquer la sécurité dès la conception : Nous visons principalement à intégrer la sécurité dans chaque étape du cycle de vie du développement logiciel, avec des processus robustes qui anticipent et traitent préventivement les vulnérabilités potentielles de la création du produit jusqu'à son déploiement et au-delà. Notre approche va impliquer des exercices rigoureux de modélisation des menaces, pour nous assurer que la sécurité est ancrée en tant que composante fondamentale de nos produits. Cette approche proactive sera la pierre angulaire de notre engagement, ce qui nous permettra de renforcer la protection de nos clients et de garder une longueur d'avance sur les menaces émergentes. 
  • Optimiser les produits pour la sécurité et la confiance des clients : Nous sommes déjà en train de renforcer la sécurité globale de notre portefeuille de produits. Pour ce faire, nous allons notamment accélérer la modernisation de la pile de nos produits de sécurité réseau (Ivanti Connect Secure, Policy Secure et ZTA) grâce à diverses technologies d'isolation et antiexploitation pour réduire l'impact potentiel des futurs défauts des logiciels. Nous nous engageons à maintenir le système d'exploitation sous-jacent le plus récent dans nos produits de sécurité réseau et nous intégrons des protections matérielles supplémentaires, ainsi que des options de surveillance et de support à distance pour mieux protéger nos clients.
  • Alléger le fardeau de la sécurité pour nos clients : Nous allons améliorer nos capacités pour fournir des solutions sécurisées prêtes à l'emploi (sécurisées par défaut) et créer des produits pouvant, si vous le souhaitez, être gérés, surveillés et sécurisés par Ivanti.  Nous allons travailler avec nos clients pour déterminer le bon niveau de responsabilités de surveillance et de gestion, en fonction de leur gamme de produits et de leur segment industriel.
  • Prioriser la sécurité centrée sur le client : Nous redirigeons nos ressources et nous faisons de nouveaux investissements ciblés sur la sécurité des produits dans toute l'entreprise. Pour ce faire, nous allons notamment renforcer nos équipes de sécurité produit, créer des modules d'ingénierie/de sécurité dédiés et collaboratifs, et adopter une approche proactive de la modélisation des menaces et des examens de sécurité, en renforçant les méthodologies de tests d'intrusion pour tout notre portefeuille de produits.  

2. Élever notre programme de gestion des vulnérabilités.

  • Recherches en interne et en externe pour identifier les vulnérabilités : Nous nous engageons à améliorer les processus et la collaboration en matière de découverte des vulnérabilités, afin de mieux identifier, corriger et signaler rapidement les problèmes de sécurité dans tout le portefeuille Ivanti. Dans ce but, nous intensifions nos capacités internes de scan, d'exploitation manuelle et de tests, nous engageons des tiers de confiance pour enrichir nos recherches internes, et nous facilitons la divulgation responsable des vulnérabilités avec des incitations accrues autour d'un programme « bug bounty » amélioré. 
  • Application des correctifs et remédiation des vulnérabilités basées sur les risques : L'objectif de ce programme amélioré de gestion des vulnérabilités est de découvrir et traiter rapidement tous les problèmes potentiels. Bien que cela puisse naturellement provoquer, au début, une augmentation des découvertes et des divulgations, nous investissons davantage dans les ressources d'ingénierie, la technologie et les processus de workflow, afin de soutenir une approche basée sur les risques qui réduira le délai moyen d'application des correctifs pour les vulnérabilités produit les plus dangereuses pour les systèmes de nos clients.

3. Fournir un meilleur support aux déploiements de produits sécurisés sur le terrain.

  • Accessibilité des ressources et de la documentation de sécurité sur le portail de la communauté : Nos clients vont constater des améliorations dans le portail de la communauté dans les mois à venir, notamment une fonction de recherche améliorée optimisée par IA pour des résultats mieux organisés, en fonction des produits spécifiques qu'un client utilise. Cela inclura les informations sur les correctifs et la documentation. Nous allons aussi améliorer l'engagement de sécurité des clients, grâce à l'implémentation d'un cycle de commentaires axé sur le client, ainsi que d'autres améliorations de l'expérience utilisateur basées sur l'application des meilleures pratiques de sécurité dans les environnements client.
  • Déploiement d'un système de serveur vocal interactif (IVR) amélioré et plus intelligent : Nous nous engageons à fournir à nos clients le support dont ils ont besoin, vite et bien. Dans les mois à venir, nous allons implémenter un serveur vocal interactif (IVR) alimenté par IA, qui va améliorer l'expérience des clients en matière de routage des appels, alerter les clients des informations de sécurité relatives à leur produit et ouvrir automatiquement des dossiers de support sur demande.
  • Collaboration avec les clients pour la mise à niveau vers les plateformes les plus récentes : Tandis que nous travaillons à renforcer la sécurité de nos dernières versions, il est également important que nos clients puissent bénéficier de ces améliorations en exécutant nos plateformes les plus faciles à prendre en charge et les plus sécurisées. Nous collaborons avec nos clients pour réduire les frictions (contractuelles, techniques ou financières) afin de faciliter l'adoption des solutions les plus récentes et les plus sécurisées, ainsi que des améliorations de sécurité conçues pour se protéger contre le paysage actuel des menaces.
  • Surmonter les obstacles pratiques à l'hygiène de sécurité des périphériques sur site : Nous savons que, dans la réalité, l'administration des réseaux d'entreprise consiste à trouver l'équilibre entre réalité pratique et contraintes. Quand nos clients ont besoin d'une solution entièrement sur site, nous nous engageons à les aider à fonctionner dans ces limites sans compromettre la sécurité du système. [Dans les semaines à venir,] nous allons travailler avec nos clients sur site pour leur communiquer les leçons que nous avons apprises et leur enseigner les meilleures pratiques pour exploiter leurs solutions dans l'environnement actuel. 

4. Partager les informations avec nos clients et la communauté.

  • Partage et transparence des informations : Avoir des relations client saines est indispensable à la réussite de notre entreprise et notre solide engagement auprès des clients, ainsi que leurs commentaires tout au long de cet incident, nous ont apporté d'énormes avantages mutuels. Nous voulons nous assurer que cela continue. Nos clients et partenaires doivent s'attendre à ce qu'Ivanti partage les leçons apprises. Nous prévoyons également de poursuivre les échanges entre nos clients et des experts externes, de lancer une série de blogs dédiés liés au paysage actuel des menaces, et d'organiser des webinars et des tables rondes pour aborder les notions de confidentialité et de sécurité avec notre communauté.
  • Création d'un Conseil des clients (Customer Advisory Board) : Les commentaires de nos clients devront guider et permettre d'ajuster chacune des initiatives ci-dessus. Nous allons institutionnaliser ce processus et nous annoncerons dans les semaines à venir des plans visant à recueillir les commentaires des clients concernant le développement des produits, la priorisation des fonctions, les problèmes de sécurité et les décisions stratégiques concernant nos feuilles de route produit.