Sécurité informatique : les bug bounties débarquent en Europe

31 Août 2016

5 min de lecture

L’idée du bug bounty est née chez Netscape, la première start-up de l’ère du web, en 1995. En deux décennies, elle a peu à peu conquis la Silicon Valley, puis les entreprises américaines dans leur ensemble, avant de débarquer cette année sur le continent européen.

Sécurité informatique : les bug bounties débarquent en Europe (Desktop)

Le concept a cependant mis quinze ans avant d’être reconnu comme une approche indispensable à la sécurité informatique, quand il a été adopté par deux géants de la Silicon Valley : Google, en 2010, puis Facebook l’année suivante.

Le principe est très simple, mais il s’avère d’une redoutable efficacité : plutôt que de s’offrir une campagne de « pentesting » (test d'intrusion), où un chercheur en sécurité informatique inspecte une technologie à la recherche de vulnérabilités pour, au bout d’un temps donné, faire l’inventaire de ses découvertes, on s’adresse à une communauté de chercheurs1; en leur proposant d’acheter le résultat de leurs trouvailles. 

Ce nouveau concept fait écho à la fréquence croissante des cyberattaques dans l’entreprise. Découvrez notre article sur la nécessité d’aller vers des politiques globales de sécurité. 

On passe ainsi d’une obligation de moyens à une obligation de résultats, d’un diagnostic ponctuel à un audit continu, d’une mission contractée dans un cadre formel à un service qui peut s’interrompre et reprendre à tout moment, et dont on peut modifier le périmètre de recherche à volonté. 

Pour Google, Facebook ou Microsoft, fédérer une communauté de chercheurs en sécurité est relativement aisé, mais la plupart des entreprises de la Silicon Valley qui leur ont emboîté le pas passent par des « plates-formes de bug bounty », qui font l’intermédiation moyennant une commission sur les paiements effectués aux chercheurs. 

Ces plates-formes ont ainsi permis à une large partie des grands noms de la technologie de lancer leurs bug bounties, une mode vite suivie par des entreprises plus traditionnelles comme Western Union, United Airlines ou General Electric, pour finir par être adoptée, cette année, par le Pentagone2, soucieux lui aussi de profiter des dernières innovations en matière de sécurité informatique. 

Il faut dire que détecter les failles de sécurité est devenu un enjeu vital pour les organisations, tout comme la nécessité de faire appel à un regard extérieur, quand bien même, que ce soit au Pentagone ou chez Google, les talents ne manquent pas en interne. En effet, le temps des attaques facilement détectable est révolu. Aujourd’hui, les hackers préfèrent les petites portes. Lisez notre article à ce sujet. 

Aujourd’hui, si le secteur des technologies représente encore la majorité des pratiquants, les entreprises « non technologiques » - si tant est que ce terme ait encore un sens de nos jours - représentent 42 % des utilisateurs de bug bounties.

Mais les plates-formes de bug bounty permettent également à des entreprises de taille bien plus modeste de profiter de cette innovation. Là où le « pentesting », très coûteux, n’était à la portée que des grands comptes, le bug bounty, bien plus économique, est accessible aux PME comme aux petites start-up, ce qui est pour le moins bienvenue à l’heure où la cybercriminalité, en croissance exponentielle, n’est plus un fléau réservé aux grandes entreprises. Alors que quasiment aucune PME ne pratique de « pentesting », elles représentent, aux USA, plus de la moitié des pratiquants de bug bounty.

En effet, les PME ne sont pas en reste en ce qui concerne les cyberattaques. Renseignez-vous sur les 5 méthodes utilisées par les pirates pour les attaquer. 

La plupart des plates-formes de bug bounty proposent de gérer l’essentiel de la relation3; entre les chercheurs en sécurité et leurs clients : valider un à un les « rapports de vulnérabilité » reçus et en évaluer la criticité - une étape capitale car elle détermine le prix de chaque rapport, sur la base d’une fourchette convenue d’avance que le client est libre de déterminer. 

Elles se chargent également de rejeter les rapports concernant une vulnérabilité déjà découverte par un autre chercheur, qu’il n’est pas question de payer plusieurs fois, tout en évitant de générer de la frustration au sein de leur communauté. 

Une tâche délicate que certains acteurs réalisent eux-mêmes, mais qui peut vite s’avérer très chronophage, car elle mobilise d’importantes ressources, en particulier lors du démarrage d’un bug bounty. 

Certaines plates-formes délèguent cette tâche à un tiers, qu’il convient alors de choisir avec le plus grand soin, tout en faisant une analyse fine des responsabilités juridiques que cela implique.

Les bug bounties peuvent être privés ou publics, selon qu’ils soient réservés à une sélection de chercheurs pré-qualifiés, souvent issus d’une élite qui gagne très bien sa vie à travers ces services, ou qu’ils soient ouverts à tout le monde, comme c’est le cas pour les bug bounties de Google, Microsoft ou Facebook. Le marché qui, il y a encore quelques années, était essentiellement constitué de bug bounties publics, s’oriente désormais de façon presque exclusive vers des bug bounties privés. 

Chaque approche a ses avantages et ses inconvénients : un bug bounty public permet à des inconnus de démontrer leurs talents4, ce qui valorise leurs profils sur le marché du travail, et met à l’épreuve du feu les équipes de sécurité de celui qui l’organise, qui fait ainsi face à une foule qui peut mettre à rude épreuve son infrastructure. 

Un bug bounty privé fera appel à des chercheurs professionnels, qui ne dépasseront jamais les limites fixées par l’organisateur, c’est plus sécurisé et donc plus rassurant. 

Réaliser un bug bounty public est, dans les faits, plutôt réservé aux entreprises qui sont confrontées au quotidien à une foule d’attaquants, comme les GAFA, et qui disposent de véritables petites cyber-armées qu’il s’agit d’entraîner afin qu’elles restent agiles. 

Logique, du coup, que ce soit les bug bounties privés qui aient été le moteur de la croissance du marché et de son extension à tous les secteurs d’activité ces dernières années.

Le bug bounty, qui est désormais une pratique courante aux États-Unis, s’insère dans une vaste gamme d’approches complémentaires en matière de sécurité informatique. Mais à en juger par les chiffres inquiétants de la cybercriminalité, les solutions actuelles, largement automatisées, s’avèrent insuffisantes face à l’ingéniosité des attaquants et la complexité croissante des technologies utilisées par les entreprises. La multitude de compétences apportées par la foule d’un bug bounty se montre alors de plus en plus indispensable. 

Dernier avantage, et non des moindres, il s’agit là d’une approche basée sur le télétravail, qui résout du même coup l’un des plus grands challenges auquel fait face le monde de la cybersécurité : un manque critique de compétences localisées là où les entreprises en ont besoin. Un récent rapport de la Commission européenne chiffrait à plus d’un million le déficit de talents5; pour faire face aux besoins du marché dans les années à venir, autant dire que le bug bounty a un bel avenir devant lui. 

Le télétravail, au-delà de créer de nouvelles opportunités d’emplois, a révolutionné notre mode de travail. Lisez vite notre article à ce sujet.

Fabrice Epelboin est cofondateur de Yogosha, une plate-forme de bug bounty, et conférencier à Sciences Po Paris

Notes

1 http://www.frenchweb.fr/la-securite-informatique-est-elle-aussi-en-voie-duberisation/221447

2 http://www.frenchweb.fr/le-bug-bounty-une-best-practice-americaine-desormais-adoptee-par-le-pentagone/247494

3 https://www.yogosha.com/bienvenue/quoi-comment-bug-bounty/

4 https://www.theguardian.com/technology/2016/may/03/instagram-comment-bug-10-year-old-hacking-finland-reward

5 http://europa.eu/rapid/press-release_MEMO-16-2322_en.htm=

Imprimer
Cyber Security eBook