Bug bounty, arme de sécurité massive
Manque de ressources, de budget, de temps… Recourir au bug bounty présente de nombreux avantages : efficacité, rapidité, agilité, ROI…
L’avenir du développement passe-t-il par le bug bounty ? Face à l’augmentation des cybermenaces, on peut s’interroger sur les approches et les outils traditionnels. Répondent-ils encore aux défis numériques des entreprises, notamment en termes d’agilité ? Le secteur de la cybersécurité souffre par ailleurs d’une sérieuse pénurie de ressources. Plus d’un million de postes sont aujourd’hui ouverts et à pourvoir à travers le monde.
De là, sans doute, l’essor d’une nouvelle pratique, le bug bounty. Pour YesWeHack, présent lors des Luxembourg Internet Days 2020, c’est là une solution disruptive. Le principe ? Mobiliser une communauté d’experts en cybersécurité pour tester un périmètre en les récompensant pour chaque vulnérabilité découverte.
La prime en fonction de l’impact business
Le bug bounty consiste à inviter toute personne en mesure de le faire, en l’occurrence des hackers dits éthiques, à se pencher sur un système spécifique pour y déceler des faiblesses. En contrepartie, ils sont récompensés en fonction de la criticité de la faiblesse identifiée.
Le caractère critique -et donc la prime- est évalué en fonction de l’impact business attendu si la vulnérabilité est exploitée. Dans le calcul, il est tenu compte de de la probabilité qu’elle soit effectivement découverte et des efforts requis pour y parvenir. Les vulnérabilités les plus recherchées concernent essentiellement celles qui ont l’impact le plus fort sur la sécurité. On relève ainsi l’exécution de code à distance, l’injection SQL, l’élévation de privilèges au niveau administrateur, l’injection XML…
Le modèle s’adapte à toutes les organisations
Plus la faille est critique, plus le montant de la prime reversé est élevé. Il peut aller de 50 EUR à plus de 10 000 EUR, somme sur laquelle le prestataire prélève une commission.
Révolution pour les entreprises clientes : elles ne paient plus au taux horaire, mais au résultat. Et les périmètres exposés ne sont plus testés ponctuellement, mais en continu.
«Le modèle s’adapte à toutes les organisations, grandes ou petites, commente Rodolphe Harand, Managing Director, YesWeHack. On peut par exemple mettre en relation un client et des chercheurs moins experts qui sauront faire le travail avec des primes moins élevées. C’est là où le modèle est intéressant. Il a une cohérence dans la récompense des hackers en fonction de l’effort et du temps demandés. Plus c’est difficile, plus il faudra récompenser.»
Sur des durées variables
Le bug bounty peut se planifier sur des durées déterminées ou indéterminées, être publics ou privés. On peut dès lors ne s’adresser qu’à un nombre restreint de hackers, en fonction de leurs compétences, voire la criticité du projet.
Le client peut opter pour un programme court, sous forme de challenge, de deux à quatre semaines,. On ne vise alors qu’un petit groupe de hackers triés sur le volet -notamment pour des projets requérant une forte conformité réglementaire. Ou s’inscrire dans un cycle continu. En somme, un programme au long-cours, public ou privé.
Le hacker n’est pas forcément un pirate informatique
Pour YesWeHack, il est temps de faire évoluer les mentalités en matière de sécurité logicielle. Cela passe également par une réhabilitation de la figure du hacker, souvent confondu avec le pirate informatique, le cybercriminel.
Professionnels, ces chercheurs de bugs font la plupart du temps du bug bounty en plus de leur emploi rémunéré. «Ce sont des personnes qui ont une expertise technique. Ils cultivent un intérêt pour la cybersécurité, explique Rodolphe Harand. S’ajoute également une nouvelle génération composée d’étudiants et d’ingénieurs. Souvent, ceux-ci ont commencé jeunes; certains souhaitent faire carrière dans le bug bounty». La plateforme YesWeHack regroupe plus d’une centaine de nationalités.
