Pour gérer vos consentements :
Categories: CloudSécurité

Tribune sécurité IT : comment choisir sa plateforme de Bug Bounty

Apparues aux Etats unis, les nouvelles solutions de sécurité appelées Bug Bounty sont organisées comme des plateformes de mise en relation entre des entreprises soucieuses d’identifier leurs vulnérabilités et une communauté d’experts en cyber-sécurité.

S’assurer du professionnalisme des experts qui testeront votre sécurité

De nombreuses plateformes de Bug Bounty mettent à disposition des centaines d’experts en sécurité, de nationalités différentes et d’origine professionnelles diverses. Entre les étudiants, les freelances et quelques experts professionnels, il est important de s’assurer du vrai niveau d’expertise proposé en privilégiant qualité et non quantité.

Les entreprises clientes doivent sélectionner une plateforme garantissant un haut niveau d’expertise, reposant sur des années de pratique dans un cadre professionnel.

Maîtriser les conditions de recherche de vulnérabilités

Le fait de ne pas cadrer la recherche de vulnérabilités par des chercheurs en sécurité peut engendrer des effets de bord négatifs comme la nécessité d’organiser une astreinte pour répondre à des problématiques qui surviendraient la nuit entre 22 heures et 2 heures (créneau horaire de remontée maximum des vulnérabilités).

De nombreuses plateformes sont utilisées par des professionnels en activité la journée et de fait, remontent des vulnérabilités majeures à une heure tardive, période pendant laquelle il est difficile d’engager un plan de remédiation immédiat.

Privilégier les chercheurs en sécurité de nationalité française

En cas de dommages causés sur le système d’information de l’entreprise, il est primordial de pouvoir engager la responsabilité du chercheur concerné de manière à pouvoir obtenir une indemnisation. De fait, il est important de contrôler les conditions générales d’utilisation avant l’activation d’un Bug Bounty.

Il est arrivé que certains chercheurs contestent le montant de la rémunération d’une vulnérabilité proposée par l’entreprise cliente et décident de la publier pour y trouver une compensation morale. Il est donc important de maîtriser l’origine des chercheurs en sécurité qui seront autorisés à rechercher des failles de sécurité.

Respecter les spécificités règlementaires françaises

Certaines entreprises, classées activité sensible (OIV), doivent se rapprocher de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) avant d’engager un programme de Bug Bounty.

Il est à noter qu’à ce jour, aucune plateforme sur le marché français, n’apporte suffisamment de garanties pour permettre à toutes les entreprises françaises de pratiquer des Bug Bounty avec l’accord de l’ANSSI.

Ne pas oublier les audits de sécurité classiques

Les Bug Bounty ne sont pas le « Uber » des tests d’intrusion. Ils complètent en termes de solution, la panoplie des services de cyberdéfense permettant à une entreprise cliente, d’identifier des vulnérabilités informatiques.

Contrairement à un audit de sécurité répondant au suivi d’une méthodologie, les Bug Bounty sont des audits avec engagement au résultat et de fait ne contraigne pas les chercheurs en cyber sécurité au suivi d’une méthodologie particulière dans une échelle temps maîtrisée.

Les plateformes de Bug Bounty : petite sélection (update)
Hacker One (USA)
Bug Crowd (USA)
Bug bounty Zone (FRANCE) : full disclosure : derrière cette plateforme, on trouve une société dirigée par…Ely de Travieso
Bountyfactory.io (FRANCE)

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago