Des criminels à capuche noire, penchés sur leurs claviers dans une pièce sombre, privée de la lumière du jour… Voilà ce que nous évoque généralement le mot « hacker ». Et bien sûr, on trouve des malfaiteurs parmi les hackers, comme dans tout domaine de spécialité. Mais ces gens ne sont pas forcément malfaisants ni effrayants. Et nous faisons aussi volontiers appel à des hackers éthiques. Certains travaillent dans notre organisation, mais nous sollicitons également des externes afin de renforcer encore notre protection contre le cybercrime.
Pour anticiper les problèmes, le développeur que vous êtes doit penser comme un hacker. Que se passerait-il si vous faisiez rouler votre tête sur le clavier ? Quand tout va bien, nous sombrons facilement dans la routine et finissons par oublier tout ce qui pourrait coincer, et les conséquences potentielles. En plus des outils et formations pour développeurs, des peer reviews et autres sources d’assistance, nous vous conseillons de faire appel à des hackers éthiques pour tester vos produits. Le hacking est une forme d’expertise, qui peut s’utiliser sur différentes parties d’un programme.
Divulgation responsable
La tâche des hackers consiste à chercher des failles dans le système de sécurité de l’entreprise, pour l’aider à améliorer ses produits ou son infrastructure et ainsi lutter contre les criminels. Il n’est pas nécessaire d’employer ces personnes en interne. Naturellement, mieux vaut découvrir une faille de sécurité, car un hacker éthique vous l’a signalée que parce qu’un criminel l’a exploitée. C’est pourquoi nombre d’entreprises ont repris sur leur site web un programme de divulgation responsable (« responsible disclosure »). Ce genre de programme permet au hacker de signaler une faille à une entreprise en toute sécurité. Selon les règles du jeu, l’entreprise dispose d’un délai prédéfini pour résoudre la faille avant que celle-ci soit éventuellement rendue publique. Visma a elle aussi mis en place un tel programme. Lorsqu’un hacker signale une faille, nous le récompensons généralement par des « swags » et le reprenons dans notre « Hall of Fame ».
Testez-nous, svp
Mais vous pouvez aller encore plus loin. Depuis 2019, nous disposons d’un programme « bug bounty » (ou « prime aux bugs »). Ce programme invite les hackers à pirater nos produits. Pour ce faire, nous collaborons avec une partie externe. Nous considérons ce service comme une couche de protection supplémentaire pour nos informations. Ces hackers viennent véritablement compléter notre système de sécurité. Et c’est précisément l’aspect humain qui importe ici. Contrairement à tout l’outillage que nous utilisons, le cerveau humain est capable de sonder le programme si profondément qu’il y trouvera des failles indécelables pour un outil informatique.
Identifier des failles de cybersécurité requiert une expertise considérable. Des plateformes de bug bounty telles qu’Intigriti, HackerOne, Bugcrowd et OpenBugBounty permettent à votre entreprise de solliciter les services d’experts de ce calibre. Ces plateformes mettent les organisations en contact avec des testeurs de pénétration et des testeurs de cybersécurité. Les entreprises paient leur présence sur ces plateformes, tandis que les hackers y accèdent gratuitement. Ces derniers peuvent alors participer à l’aide de programmes de bug bounty publics. Il s’agit donc en quelque sorte de plateformes de freelancing pour hackers.
Les hackers éthiques sont payés (bounty) pour rapporter des vulnérabilités (bugs). Lorsqu’un programme de bug bounty est lancé, les entreprises communiquent les règles du jeu : quels sont les types de tests à réaliser, sur quelles parties du produit, etc. Les récompenses à octroyer sont également définies à l’avance, pour chaque type de vulnérabilité identifié. Le hacker éthique décrit dans un rapport les démarches qu’il a entreprises pour exploiter la faille. Cela s’inscrit dans une situation gagnant-gagnant. L’efficacité du système de sécurité est évaluée et le hacker est honoré pour ses compétences dans le Hall of Fame, et aussi à travers sa récompense financière, bien entendu.
Objectifs et avantages
Un programme de bug bounty permet d’effectuer des tests en permanence, puisque ceux-ci ont lieu via la plateforme et non sous la forme de tests de pénétration périodiques que l’entreprise réalise elle-même traditionnellement. Le nombre de hackers qui se présentent à vous de cette manière est bien plus élevé que tous ceux que vous pourriez recruter en interne. Un programme de bug bounty et un programme de divulgation responsable ajoutent une couche de protection continue, que l’entreprise ne peut assurer toute seule. Un autre avantage de cette formule réside dans la force du nombre. Qui dit plus de testeurs dit plus de failles décelées, et donc une meilleure protection. Enfin, une entreprise qui fait appel à ces plateformes montre qu’elle prend sa cybersécurité au sérieux.
Visma dispose depuis 2019 d’un programme de bug bounty et d’un programme de divulgation responsable pour renforcer la protection de ses informations. Nous recevons ainsi en permanence des informations précieuses sur l’efficacité de notre protection. Plus de 150 hackers éthiques du monde entier ont déjà été invités dans le cadre de nos programmes de bug bounty privés. Et cette protection vaut chaque euro que nous y consacrons. Si nos failles venaient à être découvertes par un hacker malveillant, il nous en coûterait bien plus.
Ceci est une contribution de Cindy Wubben, Chief Information Security Officer Visma Benelux. Pour plus d’informations sur leurs solutions, veuillez cliquer ici.