Cybersécurité : les avantages du Bug Bounty
Qui veut faire gagner des millions à son entreprise en 2020 sans même passer à la télé ? Pour y parvenir, il vous « suffit » d’assurer un très haut niveau de cybersécurité. Plus facile à dire qu’à faire alors que 56 % experts prédisent une hausse des cyber-risques(1). Résultat : 92 % des entreprises françaises ont déjà subi une ou plusieurs attaques(2). Néanmoins, en France, seulement 1 % des organismes propose à leurs collaborateurs des formations en cybersécurité, preuve que le sujet peine encore à trouver sa place en interne.
Mais pas de panique. Des solutions existent et parmi elles, le bug bounty, modèle encore peu connu du crowdsourcing appliqué à la cybersécurité, dont le principe est de mobiliser une communauté d’experts externes, ou "Hackers Éthiques", pour détecter les failles de sécurité informatiques.
Une nouvelle application mobile à lancer, une infrastructure à vérifier, un objet connecté à déployer ? Faites appel à une communauté de chercheurs pour compléter vos audits de sécurité, et touchez le jackpot en matière de sécurité.
Face à la recrudescence et à la complexité croissante des menaces, difficile pour les entreprises de gérer efficacement la sécurité de leurs systèmes d’information, d’autant que les spécialistes en cybersécurité viennent à manquer : près de 3 millions de postes sont à pourvoir dans le monde ! Résultat : 80 % des entreprises françaises éprouveraient des difficultés à recruter un expert.
En parallèle, les contraintes réglementaires, telles que le RGPD, n’ont quant à elles jamais été aussi strictes, soumettant les entreprises à une pression constante en matière de cybersécurité : plus de 95 000 plaintes ont ainsi été déposées en Europe pour non-respect du RGPD et près de 56 millions d’euros d’amendes ont déjà été infligées(3).
La cybersécurité, nouveau pilier de compétitivité
Aujourd’hui, la cybersécurité recouvre des enjeux économiques, commerciaux, marketing, voire (géo)politiques majeurs. En jeu : l’image de l’entreprise et, à travers elle, sa « survie ». C’est pourquoi les audits de sécurité ne sont plus une option : les organismes ont l’obligation d’assurer un niveau de sécurité adapté à tous les étages (réseaux, applications, solutions mobiles, etc.) et d’en apporter la preuve. Car non, la sécurité informatique n’est pas qu’une simple question de firewall. Tout objet ou système connecté à internet constitue en effet une porte d’entrée potentielle : smartphone des collaborateurs nomades exposés aux réseaux publics moins protégés, boîtiers SD-Wan, configurations, accès web…
Sans oublier les imprudences des collaborateurs : 70 % des problèmes de sécurité impliquent directement les employés. La cybersécurité concerne toute l’entreprise !
Et attention aux entreprises qui ne proposent pas un niveau de sécurité suffisant : au-delà des sanctions financières liées au RGPD, le coût moyen annuel d’une faille de sécurité informatique en France s’élève à près de 3,8 millions d’euros(4) (inactivité des employés, opportunités business manquées, remise en état des infrastructures, pertes de clients...).
Et aucune entreprise n’est épargnée, pas même les plus grandes ! Google, Facebook, Yahoo… ont ainsi subi des pertes et des vols de données. Sans parler du scandale Cambridge Analytica. Le contexte actuel est donc à la méfiance et même à la défiance des consommateurs : 94 % d’entre eux souhaitent ainsi reprendre le contrôle de leurs données(5). En conséquence : il est temps de changer le paradigme de la cybersécurité en entreprise !
Proposer un double niveau de sécurité
Comment alors endiguer le flux incessant de nouvelles menaces ? Comment apporter en permanence le « bon » niveau de protection à l’ensemble des failles de sécurité potentielles ? Et ce alors même que la cybersécurité ne représente que 2 % des dépenses IT ? C’est là que les audits de sécurité prennent toute leur importance pour détecter les risques, contrôler et mettre à jour le niveau de protection, tester sa sécurité au quotidien, vérifier la conformité… Une étape indispensable mais néanmoins chronophage.
En ce sens les audits de sécurité et le bug bounty s’avèrent parfaitement complémentaires. Les audits d’une part, pour détecter, de façon très large, quels sont vos points faibles et vos besoins spécifiques en matière de protection, et le bug bounty, d’autre part, pour identifier plus précisément les vulnérabilités au sein d’un périmètre limité accessible depuis l’extérieur tel que le code d’un site web, d’une application mobile ou d’un algorithme, ou même un objet connecté.
L’audit de sécurité permet donc de fournir une cartographie globale des dispositifs de sécurité en place au sein des infrastructures de l’entreprise et de mettre en exergue les points d’amélioration à apporter. Néanmoins, il ne peut suffire seul à définir une politique de sécurité efficace, à savoir proposer le bon niveau de protection au bon endroit selon le niveau de vulnérabilité avéré.
Pour y parvenir, l’audit doit donc être complété par une recherche plus approfondie, sur un périmètre plus restreint et précisément défini, que l’entreprise a rarement le temps et les moyens humains de mener en interne. D’où le recours au bug bounty !
Le bug bounty, nouvelle arme de sécurité massive
Manque de ressources, manque de budget, manque de temps… Recourir au bug bounty présente de nombreux avantages : efficacité, rapidité, agilité, ROI… De quoi s’agit-il ?
Le principe consiste à faire appel à une communauté d’experts rémunérés selon le niveau de gravité (et le nombre) des vulnérabilités découvertes. Popularisé par Netscape dès 1995, le Bug Bounty tend à s’imposer comme le futur standard en matière de sécurité et sera utilisé par la moitié des organisations en 2022 selon Gartner.
Comment ça marche ? Concrètement, un Bug Bounty est une récompense offerte par une entreprise à un chercheur en sécurité (également appelés « hacker éthique » ou bug hunter) pour avoir détecté, à sa demande bien entendu, une faille dans la sécurité de son système informatique. L’organisme publie pour ce faire sur une plateforme en ligne, comme celle proposée par YesWeHack, un programme de Bug Bounty auprès d’une communauté de chercheurs dont l’objectif est de rapporter les vulnérabilités identifiées. L’organisation fixe alors en amont les règles selon lesquelles ces points faibles doivent être recherchés, rapportés et récompensés : périmètre technique à tester, chercheurs mobilisés, type et profondeur des tests, catégories et gravité des vulnérabilités, contenu des rapports, modalités de récompenses et autres spécificités éventuelles, propres à chaque programme.
Ces programmes de « chasse aux bugs informatiques » augmentent considérablement la probabilité d’anticiper les tentatives d’intrusion grâce à un contrôle continu (ou presque) de l’ensemble des systèmes. Sans pour autant remplacer les audits de sécurité, le bug bounty se positionne au contraire comme une « assurance sécurité » complémentaire pour l’entreprise lui permettant de sécuriser au mieux ses programmes informatiques là où l’audit va, lui, davantage se concentrer sur les infrastructures.
Mais pour tirer toute la valeur ajoutée de ce super duo de la cybersécurité, il est indispensable de recourir à des prestataires certifiés PASSI, tel que SFR Business, et spécialistes du sujet comme YesWeHack, leader européen du bug bounty avec une communauté de plus de 12 000 experts en cybersécurité. Désormais, plus besoin de jouer au loto pour trouver la combinaison gagnante.
Recevez le meilleur de l’actualité
s'abonner(1) Selon le rapport FireEye Cyber Trendscape, 2019 – https://www.fireeye.com/blog/executive-perspective/2019/11/fireeye-cyber-trendscape-report-key-insights-for-2020-planning.html
(2) Baromètre de la cybersécurité, CESIN, 2018 – https://www.cesin.fr/article-le-barometre-de-la-cybersecurite.html
(3) Informatique News, juin 2019 – https://www.informatiquenews.fr/rgpd-plus-de-95-000-plaintes-deposees-les-amendes-commencent-a-tomber-62104
(4) Statista, 2018 - https://fr.statista.com/infographie/9956/le-co%25C3%25BBt-des-failles-de-securite/
(5) Données personnelles et confiance : évolution des perceptions et usages post-RGPD, étude IMT-Médiamétrie, 2019
(6) Selon le rapport Cybersecurity: This is how firms are spending their budget this year, 2019