Categories
Avec la recrudescence des cyberattaques et des ransomwares, la cyberSécurité est devenue la principale préoccupation des entreprises comme des utilisateurs individuels. QNAP reconnaît l’importance cruciale de la cybersécurité pour la confiance des utilisateurs et la stabilité des produits. Grâce à notre Product Security Incident Response Team (PSIRT), QNAP renforce en continu ses mécanismes de gouvernance en cybersécurité, démontrant d’excellents résultats en matière de réponse aux vulnérabilités, de contrôle des risques et de collaboration mondiale.
Unir nos forces avec la communauté mondiale de la cybersécurité pour renforcer la résilience face aux cybermenaces
QNAP participe activement à l’écosystème mondial de la cyberSécurité, en établissant des collaborations étroites avec des organisations de recherche en sécurité et la communauté white-hat. Ces dernières années, QNAP a continué de sponsoriser la Zero Day Initiative (ZDI) de Trend Micro et a participé à des compétitions de cybersécurité de renommée mondiale telles que Pwn2Own Irlande et la Matrix Cup, renforçant ses capacités de gestion des vulnérabilités grâce à des exercices pratiques. Lors de ces compétitions, l’équipe dédiée de QNAP analyse et corrige également rapidement les vulnérabilités divulguées, tout en envoyant simultanément des notifications de mise à jour du système d’exploitation aux utilisateurs.
En parallèle, QNAP collabore avec plus d’une centaine de chercheurs en cyberSécurité à travers le monde pour promouvoir la divulgation coordonnée des vulnérabilités et les mécanismes de remédiation, couvrant divers aspects tels que les interfaces web, les services backend et les vulnérabilités du firmware. L’expert français en cybersécurité Thomas Fady a également salué nos efforts : « Au cours des deux dernières années, QNAP a travaillé en étroite collaboration avec nous, suivant de manière proactive les évolutions de la sécurité et réagissant rapidement et efficacement. Nous avons clairement constaté leur engagement croissant en matière de cybersécurité, ainsi que les progrès substantiels réalisés. »
Aperçu des réalisations du QNAP PSIRT en 2024
Au cours de l’année écoulée, le QNAP PSIRT a fait preuve d’une grande efficacité et transparence dans la déclaration et la gestion des incidents, avec les réalisations concrètes suivantes :
- Publication de plus de 40 avis de Sécurité, couvrant les correctifs de vulnérabilités, les recommandations d’urgence et les conseils en Sécurité
- Attribution de plus de 100 identifiants Common Vulnerabilities and Exposures (CVE), contribuant à la base de données mondiale de la cybersécurité
- Distribution de récompenses cumulées dépassant 1 million de NT$ via le Programme de récompense pour la découverte de vulnérabilités de sécurité, couvrant à la fois les canaux de divulgation internes et externes
Les délais de réponse pour les vulnérabilités à haut risque sont également rapides :
- Analyse des vulnérabilités complétée en moyenne sous 9 heures
- Correctifs publiés en moins de 14 heures
- Rapports d’incident et recommandations aux utilisateurs émis sous 24 heures
Intégration inter-départements pour atteindre un développement proactif de la Sécurité
Le PSIRT de QNAP adopte une structure basée sur un comité, avec la participation collaborative des départements R&D, Sécurité, juridique, support client et marketing à la gouvernance de la cyberSécurité. Il a également pleinement mis en œuvre le processus de développement DevSecOps, réalisant des analyses automatisées statiques et dynamiques de la Sécurité lors de la soumission du code afin de faire des contrôles de sécurité une partie intégrante du développement quotidien. De plus, il intègre en continu des outils de scan automatisés pour améliorer encore la précision de la détection des vulnérabilités.
Construction d’une défense multi-niveaux : déploiement simultané de stratégies de sauvegarde et de détection d’anomalies
Face à des menaces de ransomware de plus en plus sophistiquées, QNAP propose des solutions complètes aux utilisateurs, allant de la sauvegarde données à la détection d’anomalies réseau. Le Hybrid Backup Center offre une gestion centralisée pour les opérations de sauvegarde et de restauration multi-NAS. La fonctionnalité Airgap+, intégrée à QHora Routeur, isole automatiquement le réseau lors des opérations de sauvegarde, réduisant efficacement le risque d’exposition données. De plus, la solution ADRA NDR (Network Detection and Response) fournit une détection et une défense proactives du réseau interne, identifiant rapidement les mouvements latéraux de logiciels malveillants et les comportements de connexion anormaux au sein du réseau, renforçant ainsi la protection interne du réseau.
En matière de sensibilisation, QNAP publie régulièrement chaque trimestre des guides de configuration Sécurité, des vidéo pédagogiques et des exemples de bonnes pratiques pour aider les utilisateurs à adopter des stratégies de défense proactive. Des mécanismes intégrés tels que les contrôles App Armor Autorisation et les protections CGI sont également continuellement améliorés pour renforcer davantage la défense globale en cybersécurité.
Faire progresser la transparence de la chaîne d’approvisionnement logicielle et la gouvernance de l’IA en matière de Sécurité
En 2025, QNAP a officiellement mis en œuvre le Cadre SBOM (Software Bill of Materials) afin de garantir que tous les composants open source tiers utilisés dans ses produits disposent de listes complètes et d’informations sur les licences, permettant une évaluation rapide des risques et une remédiation dès qu’une vulnérabilité Sécurité est détectée sur un composant. Parallèlement, face à l’essor du développement de l’IA, QNAP a établi une procédure standardisée de revue de code GenAI, renforçant le contrôle qualité du code et la cybersécurité dès les premières étapes du développement. Cette approche multi-niveaux prévient les vulnérabilités potentielles et les fuites de données sensibles, renforçant la résilience globale en cybersécurité.
Le parcours continu de la gouvernance en cybersécurité, QNAP continue d’avancer
De la réponse aux incidents de cybersécurité et du développement proactif à la collaboration communautaire et à l’innovation politique, QNAP respecte constamment les principes de transparence, d’agilité et de coopération pour renforcer sa gouvernance en cybersécurité. QNAP continuera d’agir selon ses engagements en cybersécurité en améliorant les mécanismes internes et externes de détection et de contrôle des risques, offrant ainsi un environnement numérique Stockage et Réseau plus sûr, plus résilient et digne de confiance aux utilisateurs du monde entier.
