Cela fait quelques années que Bouygues télécom s’est lancé dans l’aventure de la chasse aux bugs (ou bounty hunting).
Qu’est-ce que le bounty hunting ? C’est une pratique qui consiste à recruter des hackers afin de tester la sécurité du logiciel ou d’un réseau informatique.
Les entreprises souhaitant, par exemple, tester la sécurisation de leurs services peuvent mettre des « primes » en ligne sur des plateformes spécialisés, les hackers tentent par la suite de pirater le système pour remporter la prime.
Cela permet aux entreprises de préparer leurs logiciels et services en cas d’attaque informatique d’envergure, et ainsi de découvrir les failles de sécurités avant leur exploitation par des hackers mal intentionnés.
À l’occasion d’une conférence aux Assises de la sécurité (se déroulant chaque année à Monaco), le directeur de Yogosha, plateforme leader dans le bounty hunting, avait invité Henri Favreau, le RSSI de Bouygues Telecom. Ce dernier avait présenté le programme de recherche des vulnérabilité mis en place par le groupe : « Nous avons démarré en 2017 en faisant un test sur l’espace client qui était la surface la plus exposée et les retours ont été positifs ». Suite à cette expérience réussie, Bouygues a par la suite, le groupe a lancé une quinzaine de bounty pour contrôler la sécurisation des sites de l’entreprise.
Henri Favreau relève les nombreux avantages de cette pratique :
-
Périmètre souple : On peut choisir d’inclure ou d’exclure certaines méthodes utilisées par les hackers, par exemple, on peut choisir d’exclure les attaques DDoS ou encore les Trojan.
-
Agilité : On peut commencer modestement (avec un ou deux chercheurs pour commencer) et si les retours ne sont pas au rendez-vous, augmenter progressivement la taille des équipes.
-
Bon rapport qualité/prix : Les primes vont de 1000 euros pour les vulnérabilités critiques, à 800 euros pour les vulnérabilités moyennes. Ces vulnérabilités auraient représenté un coût beaucoup plus important si ces failles avaient été détectées par des cybercriminels.
-
Choix des équipes :Grâce aux plateformes légales de bounty hunting, il est possible de choisir la nationalité des équipes venant intervenir sur le projet. Henri Favreau précise que Bouygues Telecom tend à privilégier des équipes françaises et les clients Bouygues Telecom.
Les points de vigilances :
Il est cependant important de maintenir sa vigilance lors de la mise en place d’une bounty, par exemple :
-
Face à la rapidité des réponses : Une fois un projet mis en place, il faut pouvoir rapidement agir sur l retour des chercheurs, il faut donc mettre en place une équipe interne dédiée le temps du projet.
-
Manque de visibilité sur le périmètre audité : Il est difficile de suivre par où les hackers sont entrés dans l’infrastructure, il faut donc mettre en place des rapports clairs avec les équipes de chercheurs.
Si la mise en place d’un projet de bounty hunting vous intéresse, nous vous invitons à vous rendre sur Yogosha , la plateforme de référence en matière d’hacking éthique.