Expert | Bug Bounty : l’identification de failles de sécurité récompensée
C’est innovant, sécurisé et bien pensé, le Bug Bounty a tout pour séduire ! Cette démarche sollicite des dizaines de hackers pour mettre à l’épreuve la sécurité de vos services. Ils détectent des vulnérabilités techniques inconnues, vous les récompensez à la hauteur de leur trouvaille. Et comme vous le savez si bien, la sécurité de votre entreprise, c’est avant tout la sécurité de vos bases de données et celle de vos clients. Avec la mise en application du RGPD, il est fortement recommandé de travailler main dans la main avec cette communauté de chercheurs en sécurité. Mais d’où vient cette tendance et quels en sont les bénéfices ? Peut-on vraiment faire confiance à ces hackers ?
Une tendance éthique
Apparu en 1994, le 1er programme de Bug Bounty a été lancé au sein d’une entreprise qui corrigeait elle-même ses bugs, sans contrôle ni avis extérieur. À l’époque, les chercheurs étaient récompensés par des goodies. Utilisée aujourd’hui par toute entreprise, dont les GAFAM (Google, Amazon, Facebook, Apple et Microsoft), la pratique du Bug Bounty s’est complètement démocratisée depuis 2011. Facebook, en partenariat avec Microsoft, a notamment lancé The Internet Bug Bounty, un programme international qui offre des récompenses sur des bugs trouvés dans des logiciels directement liés à Internet (PHP, Ruby, Nginx, VLC, Flickr…).
Les « White Hat » mis à l’honneur
Les sociétés qui pratiquent les Bug Bounty sont aujourd’hui de plus en plus nombreuses. Cela a mis en exergue le métier d’expert en sécurité informatique, souvent appelé « White Hat ». Des hackers éthiques qui sont chargés de pointer du doigt les failles et d’expliquer les méthodes disponibles pour y remédier. Quand l’un comble son manque de ressources, l’autre apporte son expertise qui sera récompensée. Depuis peu, les entreprises mettent les « White Hat » en compétition, un moyen bien utile pour mettre à l’épreuve ses applications et/ou serveurs. Pour les hackers, c’est un moyen d’empocher des milliers d’euros. Plus la faille est critique, complexe, plus la récompense est grande.
Pentests ou Bug Bounty ?
Réalisé par une ou deux personnes qualifiées, le pentesting délivre un rapport détaillé de la sécurité d’un service particulier de l’entreprise qui l’emploie. Cependant, ce test d’intrusion n’a lieu qu’une à deux fois par an et se trouve donc limitée. À l’inverse, les Bug Bounty sont joignables 24h/24h, 7j/7j. Cette disponibilité en fait un allié redoutable pour tester en continu la sécurité de son site ou de ses outils. Au-delà de parfois coûter moins cher, un programme de Bug Bounty vous rend confiant envers la sécurité de votre entreprise. Point non négligeable, il vous permet surtout de définir la criticité des failles majeures pour pouvoir y réagir efficacement.
Souvent méconnue ou sous-exploitée, le Bug Bounty est une tendance qui a fait ses preuves. Si vous êtes sensible à la sécurité de votre entreprise, rappelez-vous que c’est aussi un moyen de détourner du marché noir les « Black Hat ». Ces derniers sont mal intentionnés et dangereux pour la pérennité de votre site, par opposition aux « White Hat ». Leur proposer une rémunération tout ce qu’il y a de plus légale vous protège d’une possible intrusion.
Auteur : Paul Montus, Chef de projet sécurité