[CR] #FIC2018 - Pratiquer la sécurité agile avec le Red Teaming et le Bug Bounty

Participants

Pierre André DAMAS, Chef de Secteur - Commission européenne
Guillaume VASAULT-HOULIERE, Bug Bounty Factory
Olivier GUERRIER, Responsable R&D de la Business Unit Sécurité – ERCOM
Pascal CHRETIEN, RSSI - banque Oney

Résumé

Qu’il s’agisse de « Red teaming » ou de « Bug bounty », l’objectif est de tester un système sous toutes ses facettes, qu’il s’agisse de vulnérabilités logiques, humaines ou physiques, en se glissant dans la peau d’un attaquant ou en s’appuyant sur des communautés de hackers éthiques. Mais comment articuler ces nouvelles pratiques avec les classiques tests d’intrusion ? Quelles sont les clés du succès ?

Dans le cas du « Bug Bounty », des entreprises demandent à des spécialistes de la sécurité de réviser leurs codes, tester leurs sites ou leurs applications, à la recherche de failles de sécurité. Les hackers sont ensuite rémunérés en fonction des failles repérées. Les tests classiques de sécurité se déroulent en moyenne 2 mois par an, car il est difficile de mobiliser des ressources internes uniquement pour la sécurité. Les Bug Bounty prennent alors toute leur utilité en complément de ces tests classiques. Ils présentent également l’avantage de se confronter réellement à la réalité du terrain et permettent aux entreprises de se lancer en étant déjà matures. Les Bug Bounty ont donc toute leur place dans une cyber-gouvernance.

Mon application est sur une plateforme de Bug Bounty depuis 8 mois… Sur une centaine de remontées, deux étaient réellement critiques et ont fort heureusement pu être corrigées.

Olivier GUERRIER, Responsable R&D de la Business Unit Sécurité – ERCOM

D’un point de vue financier, le Bug Bounty a un coût. Une entreprise ne doit jamais perdre de vue le fait que la priorité en termes de sécurité doit être la mise à jour des antivirus, une bonne qualité de développement, etc. Ensuite seulement, des simulations d’attaque peuvent être envisagées. Le calibrage financier d’un Bug Bounty dépend fortement du travail réalisé en amont et du montant des primes versées aux « hunters » qui trouveraient ces bugs. En général il y a toujours au moins un bug de trouvé.

Enfin, tous les acteurs s’accordent à dire que ces tests sont sûrs pour une entreprise. En effet, un hacker mal intentionné n’a nullement besoin d’une plateforme de Bug Bounty pour opérer.

Retrouvez ici l’article d’Adam Wojnicki, Cybersecurity leader BearingPoint pour son intervention au FIC

Technology

Tirer parti de la technologie pour accélérer la croissance de votre entreprise

Notre raison d'être

Our Firm in Detail

Notre réseau mondial

Assurance

Automobile

Banking & Capital Markets

Chimie

Biens de consommation & Distribution

Life Sciences

Media & Entertainment

New Tech

Production industrielle

Ressources énergétiques

Santé et Protection Sociale

Secteur public

Télécoms

Transport & Logistique

Utilities

Succès

Customer & Growth

Finance & Risk

Operations

People & Strategy

Sustainability

Technology

BearingPoint Capital

Asset Based Funding

Navigator Solutions

Blogs

Podcasts

[CR] #FIC2018 - Pratiquer la sécurité agile avec le Red Teaming et le Bug Bounty

Tirer parti de la technologie pour accélérer la croissance de votre entreprise