Rechercher
Toggle location

Participants

  • Pierre André DAMAS, Chef de Secteur - Commission européenne
  • Guillaume VASAULT-HOULIERE, Bug Bounty Factory
  • Olivier GUERRIER, Responsable R&D de la Business Unit Sécurité – ERCOM
  • Pascal CHRETIEN, RSSI - banque Oney

Résumé

Qu’il s’agisse de « Red teaming » ou de « Bug bounty », l’objectif est de tester un système sous toutes ses facettes, qu’il s’agisse de vulnérabilités logiques, humaines ou physiques, en se glissant dans la peau d’un attaquant ou en s’appuyant sur des communautés de hackers éthiques. Mais comment articuler ces nouvelles pratiques avec les classiques tests d’intrusion ? Quelles sont les clés du succès ?

Dans le cas du « Bug Bounty », des entreprises demandent à des spécialistes de la sécurité de réviser leurs codes, tester leurs sites ou leurs applications, à la recherche de failles de sécurité. Les hackers sont ensuite rémunérés en fonction des failles repérées. Les tests classiques de sécurité se déroulent en moyenne 2 mois par an, car il est difficile de mobiliser des ressources internes uniquement pour la sécurité. Les Bug Bounty prennent alors toute leur utilité en complément de ces tests classiques. Ils présentent également l’avantage de se confronter réellement à la réalité du terrain et permettent aux entreprises de se lancer en étant déjà matures. Les Bug Bounty ont donc toute leur place dans une cyber-gouvernance.

Mon application est sur une plateforme de Bug Bounty depuis 8 mois… Sur une centaine de remontées, deux étaient réellement critiques et ont fort heureusement pu être corrigées.

Olivier GUERRIER, Responsable R&D de la Business Unit Sécurité – ERCOM

D’un point de vue financier, le Bug Bounty a un coût. Une entreprise ne doit jamais perdre de vue le fait que la priorité en termes de sécurité doit être la mise à jour des antivirus, une bonne qualité de développement, etc. Ensuite seulement, des simulations d’attaque peuvent être envisagées. Le calibrage financier d’un Bug Bounty dépend fortement du travail réalisé en amont et du montant des primes versées aux « hunters » qui trouveraient ces bugs. En général il y a toujours au moins un bug de trouvé.

Enfin, tous les acteurs s’accordent à dire que ces tests sont sûrs pour une entreprise. En effet, un hacker mal intentionné n’a nullement besoin d’une plateforme de Bug Bounty pour opérer.

More insights