Pour lutter contre les failles de cybersécurité, les entreprises font de plus en plus appel à des programmes de bug bounty [prime aux bogues]. Le principe est simple : les entreprises permettent à des hackers d’explorer leurs programmes, sites web ou applications à la recherche de failles de sécurité à signaler. Les avantages pour les firmes sont nombreux, mais le principal est financier. L’entreprise ne paie une prime que si une nouvelle vulnérabilité est détectée, au contraire des traditionnels audits en cybersécurité, qui sont coûteux et doivent être réalisés fréquemment.
Contacts
En savoir plus
Ils sont le cauchemar des entreprises, ils usurpent nos identités, débarquent en plein milieu de votre visio-conférence, paralysent les activités des organisations et cambriolent des places boursières de crypto-monnaie. Deux tiers des entreprises mondiales auraient subi une cyberattaque en 2020, ce qui représenterait une perte de plus de 1000 milliards de dollars, soit environ 1% du PIB mondial.
Pour lutter contre ce problème, une entreprise qui souhaite effectuer un audit de sécurité d’un site web ou d’une application engage des experts pour réaliser un rapport détaillé de sa sécurité à un instant T. Si l’entreprise veut rester à jour et corriger de nouvelles failles, elle doit renouveler ces audits de manière récurrente, ce qui peut s’avérer coûteux. Face à la montée en puissance des outils numériques et les risques qu’ils impliquent, il se développe des programmes de Bug Bounty (prime aux bogues en français) qui permettent à des entreprises de récompenser des hackers qui trouvent des failles de sécurité dans un périmètre donné. Le recours à ces programmes permet à une entreprise de tester la sécurité d’un site, d’un outil ou d’une application, de manière continue, par un grand nombre de hackers différents. L’un des avantages pour l’entreprise est qu’elle ne paie une prime que si une nouvelle faille est détectée. Ces dispositifs laissent entrevoir des enjeux nouveaux et des perspectives d’économies, mais aussi d’apprentissages importants dans la gestion de la cybersécurité des entreprises.
Démocratisation du phénomène
Les plateformes mettant en relation les entreprises et les hackers éthiques sont apparues dès fin 2013 et le marché se développement très rapidement.
Si à l’origine les programmes de Bug Bounty étaient réservés aux entreprises du secteur du Web et de la Tech (Netscape, Mozilla, Google, Facebook, Microsoft…) ainsi qu’aux entreprises spécialisées dans la cybersécurité, on constate à présent une généralisation de son usage à la fois dans le secteur privé (United Airlines, BNP Paribas…) et public (la Commission Européenne, Application AntiCovid…), autant dans des entreprises éloignées du Web (Starbucks, Hyatt, General Motors...) que celles qui semblaient réticentes à partager des informations confidentielles (la Défense ou l’Armée).
Une alternative au marché noir ?
Les hackers sont surtout connus pour leurs activités illicites sur le marché noir du web (le Dark Web) telles que la revente de données de cartes bancaires, de failles informatiques ou de rançongiciels.
De prime abord, on pourrait penser que ce type de plateforme détourne le travail des hackers du Dark Web vers les Bug Bounty qui propose une rémunération en échange d’informations sur une faille. Pour un hacker, il n’y aurait plus vraiment d’intérêt de vendre une faille sur le dark net quand on peut le faire en toute légalité directement avec l’entreprise concernée.
La réalité s’avère plus complexe.
Des programmes et des tâches très variées
D’apparence, la manière de gérer un programme de Bug Bounty semble assez standardisée. Mais en réalité, la recherche de bugs peut recouvrir des tâches et des activités de natures variées.
L’analyse approfondie de ces programmes, en particulier l’articulation entre la nature du travail demandé, sa formulation à travers la politique du programme et ses effets sur le comportement des contributeurs apparaît comme une piste pour de nouvelles recherches prometteuses en management et en particulier dans le champ de l’innovation ouverte, ainsi que pour aider les entreprises à mieux gérer leurs relations avec ces programmes.
Pirates des temps modernes ou cyber-experts de demain ?
Les bug bounties sont à la fois les fruits des outils numériques et le terreau permettant la croissance d’une nouvelle forme de « hacking » qui participe à la construction de la cyber-expertise de demain. Néanmoins, le développement du phénomène pose un grand nombre d’enjeux organisationnels pour nos entreprises qui ne sont pas encore habituées à travailler avec « la foule », en particulier sur des questions aussi sensibles que la sécurité. Ces plateformes offrent d’importantes opportunités d’apprentissages pour les hackers mais également pour les entreprises, pour qui l’enjeu est de capitaliser sur ces échanges et de mener à bien le transfert de connaissances et de compétences en matière de cybersécurité.
Plus d'info
Lire l’article complet publié sur Polytechnique Insight : https://www.polytechnique-insights.com/dossiers/digital/sommes-nous-prets-pour-une-cyberpandemie/des-hackers-ethiques-au-service-des-entreprises/
par Mathieu Simonnet