YesWeHack aimerait voir les entreprises se doter d’une politique de divulgation des vulnérabilités

YesWeHack aimerait voir les entreprises se doter d'une politique de divulgation des vulnérabilités

Les organisations doivent mettre en place un canal approprié par lequel chacun peut signaler les vulnérabilités de leurs systèmes. Ainsi, les failles de sécurité potentielles pourront être identifiées et colmatées avant qu’elles ne soient exploitées.

La mise en place d’une politique de divulgation des vulnérabilités permettrait également de garantir à toute personne, telle que les chercheurs en sécurité agissant de bonne foi, qu’elle ne sera pas poursuivie pour avoir signalé la vulnérabilité, a déclaré Kevin Gallerin, directeur général pour l’Asie-Pacifique de la plateforme de bug bounty, YesWeHack.

publicité

See somthing, say something

En fait, la création de telles politiques est plus importante que la mise en œuvre de programmes de bug bounty, a déclaré M. Gallerin dans une interview avec ZDNet. Il note que de plus en plus d’entreprises reconnaissent aujourd’hui la nécessité de ce type de politique, détaillant un “cadre sûr et clair” à travers lequel les informations sur les vulnérabilités de sécurité peuvent être soumises et comment elles doivent être traitées au sein de l’organisation.

En l’absence d’une politique appropriée, les chercheurs en sécurité peuvent être moins enclins à signaler une vulnérabilité ou, lorsqu’ils le font, ils peuvent ne pas recevoir de réponse, car les employés de l’organisation ne savent pas ce qu’ils doivent faire.

“Les informations se perdent et sont oubliées jusqu’à ce que la vulnérabilité soit finalement exploitée”, a déclaré M. Gallerin, ajoutant qu’un plan de divulgation des vulnérabilités approprié fournirait un canal structuré pour signaler les problèmes de sécurité. “Nous sommes un fervent défenseur de cette démarche”.

L’offre de services de YesWeHack consiste notamment à aider les entreprises à établir leur plan de divulgation de vulnérabilité, à intégrer la gestion des vulnérabilités à leurs flux de travail internes, ainsi qu’à examiner et à recommander des changements à leurs plans existants.

Le fournisseur a constaté une demande croissante pour ses services de bug bounty et de politique de divulgations des vulnérabilités en Asie, notamment en Chine, en Indonésie et en Australie, a indiqué M. Gallerin.

Vers l’Asie et au-delà

Basé en France, le fournisseur dispose d’un bureau à Singapour et gère actuellement des programmes de bug bounty pour l’opérateur de commerce électronique d’Asie du Sud-Est, Lazada, et le fabricant chinois d’équipements de télécommunications, ZTE. Environ 30 % de sa clientèle se trouve dans cette région, dont la moitié à Singapour.

Gallerin a déclaré à ZDNet que YesWeHack esperait que l’Asie-Pacifique représente à terme la moitié de sa clientèle mondiale, ajoutant que la plateforme travaille actuellement avec quelque 10 000 chercheurs en sécurité dans cette région. Elle dispose d’un réseau mondial de plus de 25 000 chercheurs en sécurité.

Son équipe est composée d’employés à temps plein à Singapour et en France, qui partagent leur temps entre le triage – pour évaluer les soumissions dans le cadre des programmes de bug bounty – et le soutien aux projets de recherche et de développement pour le déploiement interne ainsi que les outils destinés à la communauté des chercheurs de failles.

La société a déjà mis en œuvre un programme privé de bug bounty pour Lazada, qui a permis de distribuer 150 000 dollars de primes aux chasseurs de bugs, a déclaré l’organisation, mais a refusé de préciser combien de vulnérabilités ont été identifiées. L’opérateur de commerce électronique a commencé par des exercices de bug bountys privés de moindre envergure avant de passer progressivement à l’échelle supérieure et de lancer son programme public le mois dernier avec YesWeHack, a déclaré M. Gallerin.

Il a noté que la plupart des entreprises en Asie, par rapport à leurs homologues américaines ou européennes, étaient moins à l’aise pour discuter des vulnérabilités potentielles de leurs systèmes et préféraient mettre en place des programmes privés de bug bounty. Elles se rendent toutefois compte qu’il existe probablement des failles de sécurité que leurs propres équipes ont négligées et considèrent les programmes de bug bounty comme un moyen d’identifier et de combler les vulnérabilités potentielles, a-t-il ajouté.

L’objectif principal est de prévenir les fuites potentielles de données, a-t-il ajouté, ce qui est une préoccupation commune aux entreprises asiatiques, d’autant plus que les entreprises d’aujourd’hui collectent et gèrent de plus en plus de gros volumes de données personnelles sur les clients.

Selon M. Gallerin, la communauté de hackers de YesWeHack a pu trouver au moins une vulnérabilité critique – qui permettait un accès complet aux données ou à l’infrastructure des utilisateurs – dans la plupart des programmes de bug bounty qu’elle a mis en œuvre.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *