Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Article Précédent
Article Suivant
Facebook Twitter Google + Linkedin Email
×

Cybersécurité : ces start-up qui veulent développer le Bug Bounty en France

| | | | |

Par publié le à 10h37

Cybersécurité : ces start-up qui veulent développer le Bug Bounty en France

Aux Assises de la sécurité 2016, lors d’une table ronde intitulée "Recherche de failles de sécurité et économie collaborative sont-elles compatibles ?", deux jeunes pousses françaises, Yogosha et Bounty Factory, ont présenté leur solution. Leurs plateformes permettent de connecter les hackers blancs aux entreprises qui souhaitent renforcer leur cybersécurité.

Google, Facebook, Uber, Airbnb, Netflix… Tous ces géants de la Silicon Valley ont depuis longtemps adopté le Bug Bounty. Cette méthode consiste à faire appel à une communauté de "chercheurs", qu’on appelle les hackers blancs, pour détecter des failles informatiques dans le cadre d’un programme bien défini.  « Plutôt qu’acheter des prestations en jours-hommes pour détecter les failles de sécurité, on s’adresse à une communauté et on paye à la faille. Avec le Bug Bounty, on passe donc d’une logique de moyen à une logique de résultat », explique Fabrice Epelboin, cofondateur de Yogosha, plate-forme française de Bug Bounty lancée l’année dernière.

Des hackeurs blancs recrutés par cooptation

Pratique courante en Amérique du Nord, le Bug Bounty reste encore une activité confidentielle en Europe. En France, trois start-up comptent démocratiser cette pratique : Yogosha, Bounty Factory et Bug Bounty Zone. Deux d’entre elles (Yogosha et Bounty Factory) étaient présentes aux Assises de la sécurité, qui se tiennent jusqu’au vendredi 7 octobre à Monaco. Elles ont fait part de leurs démarches et ambitions à l’occasion d’une table ronde sur les failles de sécurité et l’économie collaborative.

Security by design : Intégrer le Bug Bounty dans une démarche DevOps

Intégrer l’approche Bug Bounty au cœur du processus de production de code d’une entreprise, c’est l’ambition de  Fabrice Epelboin, cofondateur de la start-up Yogosha. Selon lui, cette approche « secure by design » permettrait d’identifier une faille plus rapidement et de la faire remonter à la personne qui l’a causée. « C’est faire acte de pédagogie et cela permet à une entreprise de faire monter en compétence ses propres équipes et de diminuer la production du nombre de failles », estime-t-il. 

 

Concrètement, leurs plateformes permettent de mettre en relation les entreprises qui souhaitent renforcer leur sécurité avec une communauté de chercheurs extrêmement qualifiés, reconnus pour leur éthique et souvent recrutés par cooptation. La communauté de hackers blancs formée par Yogosha compte, par exemple, une centaine de chercheurs. « Nous les connaissons tous personnellement », assure son cofondateur. « Il faut créer un environnement de confiance pour le client », confirme Guillaume Vassault-Houlière, cofondateur de Bounty Factory et RSSI chez Qwant.

Jusqu’à 500 000 euros de gains par an

Ensuite, selon le programme de Bug Bounty, des pools différents de chercheurs sont montés. « Si on est sur une problématique IoT, on ne va pas créer le même pool de chercheurs que pour la recherche d’une faille sur une application web », explique Fabrice Epelboin. Via la gamification, les hackeurs blancs gagnent des points selon leurs performances. Et, si un chercheur repère, en premier, une vulnérabilité de haute criticité, il gagne de l’argent. Une faille de sécurité détectée n’est payée qu’une seule fois. En travaillant sur plusieurs plateformes, les meilleurs sur le marché peuvent gagner jusqu’à 500 000 euros par an. La valeur d’un bug est, elle, calculée en fonction de la criticité de la vulnérabilité et de la nature des données.

Ces plateformes permettent également d’instaurer un climat de confiance entre les deux parties grâce à l’ingénierie juridique qu’elles apportent. Pour chaque programme de Bug Bounty, un contrat est scellé entre les parties pour assurer une transparence complète. « La notion de confiance est centrale dans le bug bounty », martèlent les deux start-up. « Cette donnée de confiance n’étant plus transitive, il faut la traduire dans le socle juridique de la plate-forme », note Fabrice Epelboin.

Faire baisser le coût des cyber-assurances

Aujourd’hui, Yogosha travaille avec deux types d’entreprises. Les très grands groupes, (notamment un opérateur d’importance vitale) d’un côté, et les grosses start-up de l’univers BtoB de l’autre. La jeune pousse entend se développer tout autour du bassin méditerranéen. Bounty Factory, elle, travaille notamment avec l’hébergeur français OVH, qui a lancé officiellement son premier programme de recherche de bug en juillet dernier lors de la Nuit du Hack. Elle aussi entend s’étendre en dehors des frontières françaises et travaille actuellement sur des projets en Allemagne, en Suisse et au Luxembourg.

En France, si les entreprises sont encore frileuses face à cette pratique, les réticences tombent petit à petit. C’est en tout cas le point de vue de Sandro Lancrin, RSSI de Radio France, invité de cette table ronde. S’il ne s’est pas encore engagé dans un programme de Bug Bounty, le responsable de la sécurité informatique étudie sérieusement cette possibilité. A terme, les entreprises adeptes de cette pratique pourraient voir le coût de leur cyber-assurance sensiblement baisser, en particulier si le tableau de bord mis en place dans le cadre d’un programme de Bug Bounty montre la célérité de l'entreprise à corriger les failles détectées. 

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur