Tribune sécurité IT : comment choisir sa plateforme de Bug Bounty
Ely de Travieso, élu en charge de la Cyber Sécurité à la CGPME et président du Clusir Paca, nous conseille, sur la pratique de Bug Bounty pour identifier les vulnérabilités de sécurité.
Apparues aux Etats unis, les nouvelles solutions de sécurité appelées Bug Bounty sont organisées comme des plateformes de mise en relation entre des entreprises soucieuses d’identifier leurs vulnérabilités et une communauté d’experts en cyber-sécurité.
S’assurer du professionnalisme des experts qui testeront votre sécurité
De nombreuses plateformes de Bug Bounty mettent à disposition des centaines d’experts en sécurité, de nationalités différentes et d’origine professionnelles diverses. Entre les étudiants, les freelances et quelques experts professionnels, il est important de s’assurer du vrai niveau d’expertise proposé en privilégiant qualité et non quantité.
Les entreprises clientes doivent sélectionner une plateforme garantissant un haut niveau d’expertise, reposant sur des années de pratique dans un cadre professionnel.
Maîtriser les conditions de recherche de vulnérabilités
Le fait de ne pas cadrer la recherche de vulnérabilités par des chercheurs en sécurité peut engendrer des effets de bord négatifs comme la nécessité d’organiser une astreinte pour répondre à des problématiques qui surviendraient la nuit entre 22 heures et 2 heures (créneau horaire de remontée maximum des vulnérabilités).
De nombreuses plateformes sont utilisées par des professionnels en activité la journée et de fait, remontent des vulnérabilités majeures à une heure tardive, période pendant laquelle il est difficile d’engager un plan de remédiation immédiat.
Privilégier les chercheurs en sécurité de nationalité française
En cas de dommages causés sur le système d’information de l’entreprise, il est primordial de pouvoir engager la responsabilité du chercheur concerné de manière à pouvoir obtenir une indemnisation. De fait, il est important de contrôler les conditions générales d’utilisation avant l’activation d’un Bug Bounty.
Il est arrivé que certains chercheurs contestent le montant de la rémunération d’une vulnérabilité proposée par l’entreprise cliente et décident de la publier pour y trouver une compensation morale. Il est donc important de maîtriser l’origine des chercheurs en sécurité qui seront autorisés à rechercher des failles de sécurité.
Respecter les spécificités règlementaires françaises
Certaines entreprises, classées activité sensible (OIV), doivent se rapprocher de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) avant d’engager un programme de Bug Bounty.
Il est à noter qu’à ce jour, aucune plateforme sur le marché français, n’apporte suffisamment de garanties pour permettre à toutes les entreprises françaises de pratiquer des Bug Bounty avec l’accord de l’ANSSI.
Ne pas oublier les audits de sécurité classiques
Les Bug Bounty ne sont pas le « Uber » des tests d’intrusion. Ils complètent en termes de solution, la panoplie des services de cyberdéfense permettant à une entreprise cliente, d’identifier des vulnérabilités informatiques.
Contrairement à un audit de sécurité répondant au suivi d’une méthodologie, les Bug Bounty sont des audits avec engagement au résultat et de fait ne contraigne pas les chercheurs en cyber sécurité au suivi d’une méthodologie particulière dans une échelle temps maîtrisée.
Les plateformes de Bug Bounty : petite sélection (update) |
–Hacker One (USA) –Bug Crowd (USA) –Bug bounty Zone (FRANCE) : full disclosure : derrière cette plateforme, on trouve une société dirigée par…Ely de Travieso – Bountyfactory.io (FRANCE) |