Les organisations les plus conscientes de la sécurité accordent
50 000 USD de bug bounties par mois aux hackers, et jusqu’à 900 000 USD
par an pour signaler les vulnérabilités de sécurité inconnues
SAN FRANCISCO–(BUSINESS WIRE)–HackerOne,
un fournisseur de premier plan de plateforme bug bounty et de
divulgation de la vulnérabilité, a publié aujourd’hui le « The
2017 Hacker-Powered Security Report » qui examine plus de 800
programmes actionnés par des hackers et initiés par des organisations,
telles que Airbnb, GitHub, General Motors, Intel, Lufthansa, Nintendo,
le Département de la Défense des États-Unis, Uber, et bien plus. Les
conclusions sont basées sur près de 50 000 vulnérabilités de sécurité
résolues et plus de 17 millions USD de primes attribuées — le plus
grand ensemble de données de plateforme au monde.
Dans un contexte de violations de données entraînant en moyenne 4 millions USD
de pertes à l’échelle mondiale et le temps d’immobilisation causé par
des attaques, telles que WannaCry coûtant 8
milliards USD ou plus, les organisations les plus conscientes de la
sécurité travaillent avec les hackers pour trouver les vulnérabilités
inconnues. La sécurité actionnée par les hackers fournit un moyen
d’identifier les vulnérabilités à forte valeur en exploitant la
créativité de la plus grande communauté de hackers éthiques au monde.
Les données du rapport révèlent que les hackers trouvent des
vulnérabilités sévères et sont payés pour ça, avec 32 % des
vulnérabilités résolues classées comme étant de sévérité haute à
critique, et que les récompenses les plus élevées atteignent 30 000 USD
pour un seul rapport.
Des hackers de plus de 90 pays gagnent des bounty rewards. Les
organisations les plus compétitives attribuent près de 900 000 USD par
an aux hackers, et les vulnérabilités critiques valent 1 923 USD en
moyenne. Au cours des 12 derniers mois, 88 récompenses bug bounties
individuelles étaient supérieures à 10 000 USD.
« Les programmes de sécurité actionnés par les hackers sont
incontestablement efficaces quand il s’agit de trouver des
vulnérabilités dont les organisations ignoraient l’existence », a
déclaré Alex Rice, directeur de la technologie et fondateur de
HackerOne. « Le rapport indique le succès de ces programmes et les
capacités diverses de la communauté mondiale des hackers, avec près de
50 000 vulnérabilités de sécurité résolues. »
Principales conclusions du 2017 Hacker-Powered Security Report :
-
Les Bug bounties ne sont pas réservées aux entreprises de
technologie. Alors que plus de la moitié des programmes de bug
bounties lancés en 2016 était initiés par des entreprises de
technologie, 41 % d’entre eux provenaient d’autres industries. Les
secteurs verticaux affichant une croissance significative en
glissement annuel sont les agences gouvernementales, telles que le Département
de la Défense des États-Unis, les médias et le divertissement, les
services financiers et bancaires, l’e-commerce et le détail. -
L’efficacité de la réponse des clients en matière de sécurité
s’améliore : Le temps moyen jusqu’à la première réponse pour
les questions de sécurité est de 6 jours en 2017, comparé à 7 jours en
2016. Les organisations d’e-commerce et de détail fixent les problèmes
de sécurité en quatre semaines, les délais les plus rapides en moyenne. -
Les programmes réactifs attirent les meilleurs hackers. Les
programmes qui reconnaissent, valident et résolvent les vulnérabilités
soumises le plus rapidement sont les plus attractifs pour les hackers.
La fidélité compte – les hackers réguliers doivent être remerciés pour
la majorité des rapports valides. -
Les paiements de Bounty augmentent. Le bounty moyen payé à des
hackers pour une vulnérabilité critique est de 1 923 USD en 2017,
comparé à 1 624 USD en 2015 — en hausse de 16 %. Les programmes de bug
bounty les plus performants paient en moyenne 50 000 USD par mois aux
hackers et certains d’entre aux paient environ 900 000 USD par an. -
Politiques de divulgation des vulnérabilités. Malgré l’adoption
accrue des programmes de bug bounty et les recommandations des agences
fédérales, 94 % des plus grandes entreprises cotées en bourse n’ont
pas encore de politiques de divulgation des vulnérabilités en place —
ce qui est inchangé depuis 2015.
Le rapport faisant le plus autorité sur les bug bounties et la
sécurité actionnée par des hackers
Le 2017 Hacker-Powered Security Report examine les données rassemblées
par plus de 800 programmes de bug bounty et de divulgation des
vulnérabilités dans le monde. Le rapport contient une analyse de près de
50 000 vulnérabilités résolues dans plus de 13 industries, ainsi que les
perspectives de plus de 600 clients et plus de 100 000 hackers
enregistrés. HackerOne a également analysé les données de politiques de
divulgation des vulnérabilités d’entreprises Forbes Global 2000 pour
mieux comprendre l’adoption de la sécurité actionnée par des hackers. Le
2017 Hacker-Powered Security Report est basé sur l’ensemble de données
de plateforme le plus complet, et il fournit une perspective sur le taux
d’adoption des bug bounties, les stratégies de tarification, les
motivations des hackers, et bien plus.
Le rapport complet est disponible sur : https://www.hackerone.com/resources/hacker-powered-security-report
À propos de HackerOne
HackerOne est la plateforme de sécurité actionnée par des hackers numéro
un qui connecte les organisations avec la plus importante communauté de
hackers de confiance au monde. Plus de 800 organisations, y compris le
Département de la Défense, General Motors, Uber, Twitter, GitHub,
Nintendo, Kaspersky Lab, Panasonic Avionics, Qualcomm, Square,
Starbucks, Dropbox et le CERT Coordination Center font confiance à
HackerOne pour trouver les vulnérabilités critiques de leur logiciel
avant que les criminels ne puissent les exploiter. Les clients HackerOne
ont résolu près de 50 000 vulnérabilités et payé plus de 17 millions USD
de bug bounties. HackerOne a son siège à San Francisco avec des bureaux
à Londres et aux Pays-Bas.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
HackerOne
Lauren Koszarek
lauren@hackerone.com
ou
Bateman
Group
Margaret Pack, 619-609-3919
hackerone@bateman-group.com