Edito

Vous êtes RSSI. Vous voyez depuis quelques semaines un grand nombre d'articles sur les bug bounties. Ces programmes de cybersécurité sont mis en place par les entreprises elles-mêmes ou via des plateformes faisant l'intermédiaire comme bugcrowd.com ou le français bountyfactory.io récemment. Ces plateformes proposent de mutualiser les compétences d'experts sécurité white-hat afin d'offrir un service payé au résultat et non aux ressources ou moyens engagés pendant les tests d’intrusion. Outre les questions technicoéthiques qui ont été de nombreuses fois abordées sur le web, vous êtes séduit par le concept d’obligation de résultat et non de moyens. Vous vous lancez dans l'exercice et deux options s’offrent à vous :

Option 1, lancer votre propre bug bounty. Il vous faut créer des règles, un processus de soumission de bugs, un accès sécurisé ouvert (paradoxalement …) aux contributeurs « hackers », ainsi qu'une équipe hautement qualifiée en sécurité capable d'analyser, qualifier et prioriser les soumissions et leur traitement. Attention également à superviser de près l'activité des « hackers ».
Option 2, vous déléguez ces tâches à une plateforme externe. Cela signifie qu'un abonnement doit être payé avant même de devoir récompenser le moindre résultat. Vous devez choisir et négocier un modèle économique qui prévoit le cout d'un rapport signal à bruit trop faible dans les soumissions de bugs. Autre constat : la plateforme ne peut pas sérieusement qualifier les bugs sans prendre en compte les enjeux de votre métier ou avoir accès à du code sensible.

Quelques mois passent et votre programme bug bounty ne remonte aucune faille majeure. Votre SI est-il si bien sécurisé ou bien trop peu de « hackers » compétents sur le périmètre testé se sont intéressés à vos bounties ? Pire, il y a peut-être bien des failles, mais elles ont été divulguées à plus offrant, sur le marché noir des 0-day...

À la fin, le concept « payer au résultat » vous échappe. Le bug bounty est un outil intéressant, mais il ne remplace pas les audits et le conseil SSI et se rapproche de la mise en place de services de type SOC, l'assurance en moins.

Mouloud Aït-Kaci
Consultant sécurité et gestion des risques – CGI Business Consulting

CGI le live - Les tendances Data 2023

Revue thématique - Attirer et fidéliser les talents, enjeu stratégique pour les banques

Rapport Environnement, Social et Gouvernance 2022 de CGI

Lettre d'information - Lutte contre la cybercriminalité N°19 – mai – juin 2016

Edito

Insights you can act on

Qui sommes-nous

Ressources

Support

Retrouvez-nous sur les réseaux

CGI le live - Les tendances Data 2023

Revue thématique - Attirer et fidéliser les talents, enjeu stratégique pour les banques

Rapport Environnement, Social et Gouvernance 2022 de CGI

Edito

CENTRE DES MEDIAS

Chromatique n°14 - L’intelligence artificielle au service du secteur bancaire et financier

Chromatique n°14 - Le Grand Entretien avec Gautier Mouzelard

Inclusion financière des femmes : où en est-on ?

5 clés pour assurer vos projets de décarbonation

En savoir plus sur CGI

Suivez notre actualité