NUMERIQUE ET INFORMATIQUE/CYBERSECURITE : Ces start-up qui ont développé le Bug Bounty en France

Google, Facebook, Uber, Airbnb, Netflix… Tous ces géants de la Silicon Valley ont depuis longtemps adopté le Bug Bounty. Cette méthode consiste à faire appel à une communauté de « chercheurs », qu’on appelle les hackers blancs, pour détecter des failles informatiques dans le cadre d’un programme bien défini. « Plutôt qu’acheter des prestations en jours-hommes pour détecter les failles de sécurité, on s’adresse à une communauté et on paye à la faille. Avec le Bug Bounty, on passe donc d’une logique de moyen à une logique de résultat », explique Fabrice Epelboin, cofondateur de Yogosha, plate-forme française de Bug Bounty lancée l’année dernière.
Des hackeurs blancs recrutés par cooptation
Pratique courante en Amérique du Nord, le Bug Bounty reste encore une activité confidentielle en Europe. En France, trois start-up comptent démocratiser cette pratique : Yogosha, Bounty Factory et Bug Bounty Zone. Deux d’entre elles (Yogosha et Bounty Factory) étaient présentes aux Assises de la sécurité, qui se tiennent jusqu’au vendredi 7 octobre à Monaco. Elles ont fait part de leurs démarches et ambitions à l’occasion d’une table ronde sur les failles de sécurité et l’économie collaborative.

Cybersécurité : ces start-up qui veulent développer le Bug Bounty en France

Security by design : Intégrer le Bug Bounty dans une démarche DevOps

Intégrer l’approche Bug Bounty au cœur du processus de production de code d’une entreprise, c’est l’ambition de Fabrice Epelboin, cofondateur de la start-up Yogosha. Selon lui, cette approche « secure by design »permettrait d’identifier une faille plus rapidement et de la faire remonter à la personne qui l’a causée. « C’est faire acte de pédagogie et cela permet à une entreprise de faire monter en compétence ses propres équipes et de diminuer la production du nombre de failles », estime-t-il.
Concrètement, leurs plateformes permettent de mettre en relation les entreprises qui souhaitent renforcer leur sécurité avec une communauté de chercheurs extrêmement qualifiés, reconnus pour leur éthique et souvent recrutés par cooptation. La communauté de hackers blancs formée par Yogosha compte, par exemple, une centaine de chercheurs. « Nous les connaissons tous personnellement », assure son cofondateur. « Il faut créer un environnement de confiance pour le client »,confirme Guillaume Vassault-Houlière, cofondateur de Bounty Factory et RSSI chez Qwant.
Jusqu’à 500 000 euros de gains par an
Ensuite, selon le programme de Bug Bounty, des pools différents de chercheurs sont montés. « Si on est sur une problématique IoT, on ne va pas créer le même pool de chercheurs que pour la recherche d’une faille sur une application web », explique Fabrice Epelboin. Via la gamification, les hackeurs blancs gagnent des points selon leurs performances. Et, si un chercheur repère, en premier, une vulnérabilité de haute criticité, il gagne de l’argent. Une faille de sécurité détectée n’est payée qu’une seule fois. En travaillant sur plusieurs plateformes, les meilleurs sur le marché peuvent gagner jusqu’à 500 000 euros par an. La valeur d’un bug est, elle, calculée en fonction de la criticité de la vulnérabilité et de la nature des données.
Ces plateformes permettent également d’instaurer un climat de confiance entre les deux parties grâce à l’ingénierie juridique qu’elles apportent. Pour chaque programme de Bug Bounty, un contrat est scellé entre les parties pour assurer une transparence complète. « La notion de confiance est centrale dans le bug bounty », martèlent les deux start-up. « Cette donnée de confiance n’étant plus transitive, il faut la traduire dans le socle juridique de la plate-forme », note Fabrice Epelboin.
Faire baisser le coût des cyber-assurances
Aujourd’hui, Yogosha travaille avec deux types d’entreprises. Les très grands groupes, (notamment un opérateur d’importance vitale) d’un côté, et les grosses start-up de l’univers BtoB de l’autre. La jeune pousse entend se développer tout autour du bassin méditerranéen. Bounty Factory, elle, travaille notamment avec l’hébergeur français OVH, qui a lancé officiellement son premier programme de recherche de bug en juillet dernier lors de la Nuit du Hack. Elle aussi entend s’étendre en dehors des frontières françaises et travaille actuellement sur des projets en Allemagne, en Suisse et au Luxembourg.
En France, si les entreprises sont encore frileuses face à cette pratique, les réticences tombent petit à petit. C’est en tout cas le point de vue de Sandro Lancrin, RSSI de Radio France, invité de cette table ronde. S’il ne s’est pas encore engagé dans un programme de Bug Bounty, le responsable de la sécurité informatique étudie sérieusement cette possibilité. A terme, les entreprises adeptes de cette pratique pourraient voir le coût de leur cyber-assurance sensiblement baisser, en particulier si le tableau de bord mis en place dans le cadre d’un programme de Bug Bounty montre la célérité de l’entreprise à corriger les failles détectées.

Une réflexion au sujet de « NUMERIQUE ET INFORMATIQUE/CYBERSECURITE : Ces start-up qui ont développé le Bug Bounty en France »

  1. On voit presque toutes les semaines des entreprises qui subissent des cyber-attaques, le recours à la méthode bug bounty me semble indispensable aujourd’hui. On manque de culture numérique dans tous les secteurs de la société et même si on ne peut pas se protéger à 100% des attaques informatiques on peut en éviter une grande quantité si on est éduqué au monde virtuel, ce qui n’est pas le cas de tout le monde. Pourtant, comme tu le soulignes, ça représente un réel enjeux de rentabilité, de fonctionnement des entreprises et c’est tout une économie de marché qui se développe, le fait de recourir à des hackers blancs pour détecter des failles et les éliminer. Il faut sensibiliser les entrepreneurs à cette pratique, les attaques peuvent avoir de graves conséquences économiques surtout pour les petites et moyennes entreprises qui sont nombreuses.

Les commentaires sont fermés.