Vous avez dit Bug Bounty ? Rencontre avec le fondateur de YesWeHack

Face au Risque. Qu’est-ce que le Bug Bounty ?

Manuel Dorne. C’est une pratique inventée par la société Netscape en 1995 qui consiste à récompenser tous ceux qui découvrent des failles de sécurité dans les sites Internet, les services, les objets connectés et les applications d’une société.

Quel est le principe de la plateforme ?

M.D. BountyFactory.io, notre plateforme, offre tous les outils techniques et le cadre légal européen nécessaires à la mise en œuvre d’un Bug Bounty. Ce Bug Bounty peut être public et ouvert à l’ensemble de notre communauté composée de 3 000 experts en sécurité, ou il peut être totalement confidentiel et accessible uniquement sur invita- tion. Évidemment, aucune faille de sécurité remontée via notre plate- forme n’est rendue publique et seul le manager de la société y a accès. Ce dernier peut échanger directement avec chaque rapporteur de vulnérabilité et quand le rapport est validé, il peut alors verser une récompense.

En quoi cela peut-il aider les entreprises ?

M. D. En règle générale, les entre- prises font ce qui s’appelle des audits de sécurité ou pentests. C’est une phase très importante dans la réalisation d’un projet, mais la fréquence des audits est souvent espacée de plusieurs mois. Pendant ce temps-là, les développeurs qui sont dans un process agile, continuent d’ajouter de nouvelles fonctionnalités et de faire des modifications sur leur code, ce qui entraîne irrémédiablement l’apparition de nouvelles failles de sécurité. C’est dans ce mouvement continu que le Bug Bounty trouve tout son intérêt en permettant aux entreprises de réduire les risques de leurs produits ou de leurs sites web de manière agile. De plus, dans le cadre de la nouvelle directive européenne sur la protection des données personnelles (RGPD) qui entrera en appli- cation en mai 2018, et qui permettra de sanctionner les entreprises négligentes avec les données personnelles de leurs clients, le Bug Bounty peut- être un véritable atout.

Comment les entreprises peuvent-elles s’inscrire dans la démarche ?

M. D. Chez YesWeHack, nous incitons les entreprises à s’inscrire dans un processus de divulgation coordonnée des vulnérabilités. Cela consiste à collecter des informations auprès des chercheurs de vulnérabilités, à coordonner le partage de ces informations entre les acteurs et à divulguer l’existence de vulnérabilités (logicielles et matérielles) et leurs mesures d’atténuation à diverses parties prenantes, y compris le grand public quand cela est nécessaire.

Concrètement, une entreprise fournit aux chercheurs en sécurité la marche à suivre pour leur divulguer plus efficacement une vulnérabilité. Et cela se matérialise aussi par la mise en place d’un Bug Bounty afin de donner un cadre technique et légal solide à la remontée de vulnérabilité.

De notre côté, nous accompagnons nos clients dans la mise en place de leur programme. Si ces derniers ne sont pas structurés en interne pour gérer leur Bug Bounty, nous pouvons aussi le manager intégralement à leur place. Enfin, comme il est très important pour nous d’affirmer notre appartenance à l’Europe, notre plate- forme respecte le droit européen.

Avez-vous déjà eu des retours sur des équipements de sécurité (détecteurs incendie, centrales d’alarme, caméras de vidéosurveillance…) ?

M. D. Nous avons déjà rencontré ce genre de cas, oui. Les équipements de sécurité qui appartiennent à la grande famille des objets connectés (IoT) sont de plus en plus nom- breux dans les entreprises et chez les particuliers. Bon nombre de ces objets ne peuvent pas être mis à jour et énormément de constructeurs n’ont pas pris conscience qu’il est important de sécuriser leur maté- riel au travers d’un programme de Bug Bounty. Cela leur permettrait de diminuer les risques cyber, mais aussi de communiquer positivement sur la qualité et le niveau de sécurité de leur produit.

Chez YesWeHack, nous travaillons d’ailleurs en étroite collaboration sur tous ces sujets avec Digital Security, le leader français en sécurité des objets connectés, et avec leur Cert (Centre d’alerte et de réaction aux attaques informatiques sur IoT)