Intégrer le « Bug Bounty » dans une stratégie de cybersécurité

Partager

La mobilisation de hackers éthiques aux profils variés permet de multiplier les approches pour éprouver la sécurité des applications et des systèmes d’information.

En 2020, la première proposition de « Bug Bounty » fêtera ses 25 ans. C’est en effet en 1995 que les équipes du navigateur Internet Netscape ont ouvertement fait appel à la communauté des férus de technologies numériques en leur indiquant qu’ils récompenseraient celle/celui qui leur signalerait des failles de sécurité dans leurs programmes informatiques.

C’est un moyen organisé de bénéficier de l’expertise cumulée d’un très grand nombre de personnes pour passer au crible l’intégrité de l’IT. Une démarche qui peut concerner des applications, des équipements physiques, des sites Internet ou des logiciels. Soit l’ensemble des portes d’entrée potentiellement exploitables par un pirate qui développe ses propres modes opératoires. C’est là où la pluralité de points de vue se révèle très utile : chaque hacker éthique entreprendra à sa manière l’analyse du programme à auditer. En fonction de son expertise, de son tempérament, du temps dont elle/il disposera. Gardons à l’esprit qu’il n’y a dans le domaine du piratage pas de « bonne » ou de « mauvaise » manière de procéder. Seule vaut celle qui permet d’arriver à ses fins en ne se faisant pas prendre. Fort de ce principe, tous les talents et les tournures d’esprit sont les bienvenus.

Une activité encadrée juridiquement

Le piratage informatique est classiquement puni par le législateur. En France, l’article 323-1 du Code pénal établit que « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Et lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende ». Pour ne pas verser dans cette qualification et faire encourir de telles peines aux hackers éthiques, le Bug Bounty se déroule dans un cadre organisé par l’entreprise ou l’Administration. Par exemple, au printemps 2019, la Direction Interministérielle du Système d’Information et de Communication de l’État (DINSIC) a décidé dans la foulée de l’annonce de l’ouverture de la messagerie Tchap aux agents publics de la soumettre à un Bug Bounty. C’est une démarche d’amélioration continue qui permet de conserver en permanence l’exigence de la sécurité, qui est trop souvent délaissée une fois que le produit ou le service est commercialisé. Cette aptitude à déceler des points de faiblesse dans une architecture n’est pas l’apanage des diplômés des grandes écoles ou des cursus universitaires les plus fournis. C’est au contraire la reconnaissance d’une forme d’intelligence résolument opérationnelle et créative, particulièrement bienvenue dans un contexte numérique en mutation constante.

Des profils documentés

La relation avec les hackers éthiques peut passer par des plateformes (comme YesWeHack ou Yogosha) qui se chargent de recenser et de valider leurs profils. Afin par exemple d’évaluer leur savoir-faire voire de documenter leurs découvertes passées. Tandis que certaines entreprises traitent les demandes en direct avec les découvreurs de failles. Cette conception de la sécurité doit être perçue par les équipes de conception et de pilotage des systèmes d’information comme un complément à leur travail de création. Et ne doit certainement pas les dispenser d’intégrer les principes de sécurité le plus en amont possible dans leurs projets. Ce n’est pas non plus une mise en doute de leur capacité à élaborer un programme utile. Le recours aux services de ces hackers éthiques doit donc s’effectuer en toute transparence avec les informaticiens maison qui ne doivent pas découvrir a posteriori cet examen de leurs réalisations. La variété des modus operandi de ces « pirates » bienveillants doit au contraire est pris comme atouts pour se prémunir contre l’imagination des attaquants. Le Bug Bounty est donc un chantier technique mais ses promoteurs dans l’entreprise ne doivent pas faire l’économie d’un accompagnement managérial et d’une communication claire pour que chacun puisse en tirer profit dans l’amélioration de la production commune.

Nicolas Arpagian

Directeur de la Stratégie et des Affaires publiques d’Orange Cyberdefense, je suis également Directeur scientifique du cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), établissement public auprès du Premier ministre et Maître de conférences à l’Ecole Nationale Supérieure de la Police (ENSP). J’ai écrit une dizaine d’ouvrages, parmi lesquels « La Cybersécurité » aux Presses Universitaires de France (PUF) ou « La Cyberguerre – La guerre numérique a commencé » chez Vuibert.