Quand les menaces de cyber sécurité s’amplifient, il faut pouvoir imaginer de nouvelles défenses et pourquoi pas celle de payer des hackers pour tenter d’infiltrer vos systèmes informatiques et en découvrir ainsi toutes les failles ? C’est bien l’idée du Bug Bounty, née il y a plus de 25 ans mais dont la méthode a été rodée ces dernières années. De quoi parle-t-on exactement ? Est-ce vraiment efficace ? Peut-il y avoir un risque ? Voici tous les éléments pour bien comprendre le Bug Bounty.
Le Bug Bounty
Un Bug Bounty est une récompense qu’une entreprise propose à qui trouvera une faille dans la sécurité de son système informatique. Le principe est bien sûr que le hacker qui découvre une vulnérabilité ne l’exploite pas mais puisse proposer une solution pour la combler.
Dans les années 90 c’est Netscape la première qui s’est rendu compte que des communautés de “geeks” corrigeaient d’eux-mêmes les bugs du programme, sans aucun contrôle de la part de l’entreprise. Netscape décida alors de s’appuyer sur eux et proposa des récompenses à tous les « correcteurs ». La méthode a beaucoup évolué : aujourd’hui, les Bug Bounty s’inscrivent dans le cadre de programmes au périmètre déterminé par l’entreprise et les hackers sont recrutés avec la plus grande vigilance par les sociétés spécialisées en cybersécurité.
Des hackers chercheurs particulièrement efficaces
Avant la création des programmes Bug Bounty, les tests de hacking étaient organisés par des prestataires d’audit de sécurité ou effectués directement en interne par le service informatique des entreprises. C’était donc les mêmes équipes qui avaient réalisé les programmes de sécurité qui les testaient !
L’intérêt du Bug Bounty est de soumettre son produit à des compétences de hacking variées et diversifiées et de multiplier le nombre de hackers travaillant sur le sujet. La méthode est donc beaucoup plus efficace puisqu’on passe d’une logique de moyens à une logique de résultats. L’idée n’est pas de faire un diagnostic ponctuel mais de réaliser un audit continu. On obtient ainsi de meilleurs résultats et surtout un meilleur retour sur investissement.
Si l’idée d’inviter le loup dans la bergerie peut d’abord effrayer les entreprises, il faut comprendre que le terme de « hacker » désigne d’abord un informaticien avant de concerner un criminel. Les entreprises de cybersécurité réalisent un recrutement pointilleux et s’entourent de “hackers éthiques” qui sont au service des entreprises et récompensés en cas de résultat.
Le but : réduire les temps de détection et de résolution des failles
En France, le Bug Bounty a déjà séduit plusieurs entreprises du CAC40. La majorité des entreprises ressent en effet véritablement le besoin de mettre leurs systèmes de sécurité à l’épreuve pour pouvoir proposer des services de plus en plus sûrs à leurs clients. Le critère du temps de détection figure également en tête des indicateurs retenus pour mesurer la qualité d’une politique de sécurité. On sait que pour les entreprises françaises, le temps moyen de détection et de correction des failles ayant entraîné des vols de données atteint 280 jours, en 2020. Et pour réduire les risques, le premier facteur qui contribue à les atténuer est la réactivité des équipes informatiques. Réduire les temps de détection et de résolution des failles est donc crucial et n’apporte que des bénéfices, c’est tout l’enjeu des programmes de Bug Bounty.