Edito
Vous êtes RSSI. Vous voyez depuis quelques semaines un grand nombre d'articles sur les bug bounties. Ces programmes de cybersécurité sont mis en place par les entreprises elles-mêmes ou via des plateformes faisant l'intermédiaire comme bugcrowd.com ou le français bountyfactory.io récemment. Ces plateformes proposent de mutualiser les compétences d'experts sécurité white-hat afin d'offrir un service payé au résultat et non aux ressources ou moyens engagés pendant les tests d’intrusion. Outre les questions technicoéthiques qui ont été de nombreuses fois abordées sur le web, vous êtes séduit par le concept d’obligation de résultat et non de moyens. Vous vous lancez dans l'exercice et deux options s’offrent à vous :
- Option 1, lancer votre propre bug bounty. Il vous faut créer des règles, un processus de soumission de bugs, un accès sécurisé ouvert (paradoxalement …) aux contributeurs « hackers », ainsi qu'une équipe hautement qualifiée en sécurité capable d'analyser, qualifier et prioriser les soumissions et leur traitement. Attention également à superviser de près l'activité des « hackers ».
- Option 2, vous déléguez ces tâches à une plateforme externe. Cela signifie qu'un abonnement doit être payé avant même de devoir récompenser le moindre résultat. Vous devez choisir et négocier un modèle économique qui prévoit le cout d'un rapport signal à bruit trop faible dans les soumissions de bugs. Autre constat : la plateforme ne peut pas sérieusement qualifier les bugs sans prendre en compte les enjeux de votre métier ou avoir accès à du code sensible.
Quelques mois passent et votre programme bug bounty ne remonte aucune faille majeure. Votre SI est-il si bien sécurisé ou bien trop peu de « hackers » compétents sur le périmètre testé se sont intéressés à vos bounties ? Pire, il y a peut-être bien des failles, mais elles ont été divulguées à plus offrant, sur le marché noir des 0-day...
À la fin, le concept « payer au résultat » vous échappe. Le bug bounty est un outil intéressant, mais il ne remplace pas les audits et le conseil SSI et se rapproche de la mise en place de services de type SOC, l'assurance en moins.
Mouloud Aït-Kaci
Consultant sécurité et gestion des risques – CGI Business Consulting