Article de Blog

Test d’Intrusion vs Bug Bounty

Table des Matières

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les administrateurs informatiques se demandent comment se protéger pour ne pas être victimes de telles attaques. Une chose est certaine: réaliser des tests de sécurité uniquement à l’interne n’est plus suffisants pour prévenir les incidents dans l’ère numérique moderne. Si un simple oubli est fait par une équipe informatique lors de la mise en œuvre de vos systèmes, ce même oubli risque d’être fait lors des tests internes sont réalisés, car l’analyse sera réalisée par la même personne en cause.

C’est pour cette raison que les organisations se fient désormais aux tests d’intrusion et aux bug bounties pour améliorer leur cybersécurité. Impliquer une expertise externe est nécessaire afin de détecter les vulnérabilités qui ne sont pas détectées par les processus internes et qui sont activement exploitées par les cybercriminels modernes. Ce besoin soulève un important questionnement: quelle approche est la plus adaptée pour mon organisation? Les tests d’intrusion ou les bug bounties?

Dans cet article, nous aborderons les différences entre les deux initiatives, nous analyserons les coûts ainsi que les efforts associés et nous vous aiderons à déterminer laquelle est la mieux adaptée à votre contexte.

C’est quoi un Bug Bounty?

En bref : les bug bounties sont des projets d’audit de sécurité accessibles à tous ceux qui se portent volontaires. Essentiellement, les organisations participantes invitent les gens à essayer de les pirater selon des cibles très précises afin de déterminer la possibilité d’un attaquant d’exploiter des failles de sécurité. Ceux qui y parviennent réclament une prime. Des chercheurs indépendants en sécurité situés à travers le monde tentent ainsi de découvrir et de signaler ces vulnérabilités que les acteurs malveillants pourraient être en mesure d’exploiter, avec l’autorisation de l’organisme ciblée. Les sommes d’argents qui sont déboursés à ces chercheurs varient généralement en fonction de la gravité des vulnérabilités qui sont identifiées.

Voila l’essentiel à savoir concernant les bug bounties. Les programmes de bug bounty peuvent être réalisés à l’interne ou à l’aide de plateformes telles que HackerOne ou Bugcrowd. L’organisation publiques un ensemble de règles d’engagement (espérant que la communauté respecte cet encadrement) et attend les résultats.

C’est quoi un test d’intrusion?

Tandis que les bug bounties sont une invitation à tous les amateurs qui agissent sur une base volontaire, les tests d’intrusion sont un engagement structuré réalisé par une équipe d’experts entièrement spécialisés dans cette industrie. Dans ce contexte, les organisations travaillent avec une entreprise de cybersécurité spécialisée dans les audits de sécurité pour réaliser le test. Les deux parties travaillent ensemble pour définir la portée et les objectifs de la mission tout en collaborant tout au long du processus dans un délai convenu. À la fin du projet, les entreprises reçoivent généralement un rapport professionnel détaillant les vulnérabilités découvertes et des recommandations pour les corriger. Par la suite, les spécialistes sont disponibles pour de futurs échanges et conseils en matière de sécurité afin d’assurer une mise en oeuvre adéquate des correctifs.

Si les bug bounties étaient effectués par des cow-boys, les tests d’intrusion seraient réalisés par les shérifs et les adjoints dont les insignes prennent la forme de certifications et de pratiques reconnues par l’industrie. C’est moins « Wild West » et plus « Johnny Law ».

Découvrez comment l'expertise de Vumetric a amélioré la cybersécurité de 1,000+ organisations.

Quelle que soit la taille de votre entreprise ou votre secteur d’activité, nos experts comprennent les risques les plus complexes auxquels vous êtes confrontés quotidiennement et qui pourraient être désastreux s’ils sont exploités par un pirate.

Les différences entre un test d’intrusion et un bug bounty

Les critères suivants permettent d’illustrer les principales différences entre les programmes de bug bounty et les tests d’intrusion :

Catégorie Bug Bounty Test d’Intrusion
Portée Ensemble de règles créées par l’organisation. Généralement limité aux ressources publiquement accessibles de l’organisation*. Établi au début du projet. Peut inclure des services exigeant une authentification et contenant des informations sensibles. Peut cibler l’infrastructure interne.
Ressources Le personnel interne doit gérer le projet et répondre aux soumissions des chercheurs indépendants pendant qu’il est en cours. Un logiciel est nécessaire pour suivre ces soumissions. Certains frais en lien avec cette gestion peuvent être atténués par l’utilisation d’une plateforme de bug bounty. Réunions de gestion de projet tout au long du test. Recueil d’informations (par exemple, documentation du service et plages de réseau) et configuration de l’accès fournit aux testeurs.
Coûts Coûts imprévisibles. Les paiements déboursés aux chercheurs doivent être suffisamment élevées pour susciter l’intérêt. Un grand nombre de découvertes peut conduire à des frais plus élevés que prévu. Des coûts additionnels peuvent être générés par le personnel qui doit gérer le projet à l’interne. Prévisible et préétabli lors de l’entente initiale. Les coûts varient en fonction de l’étendue du travail, mais peuvent être aussi bas que $5,000 à $7,000 pour les startups et petites entreprises.
Résultats Rapports individuels pour chaque vulnérabilité découverte. Rapport complet comprenant les vulnérabilités priorisées par niveau de risque, les mesures correctives ainsi que des recommandations supplémentaires. Réunion à la fin du projet pour discuter des résultats afin d’assurer sa compréhension. Produit une attestation pouvant être fournie aux clients/compagnies d’assurance prouvant que vous avez mené le processus et traité les vulnérabilités à l’aide d’un fournisseur reconnu.
* Des projets de bug bounties privés existent pour des services plus sensibles

Choisir entre les deux

Choisir un test d’intrusion

La nature structurée et les coûts prévisibles des tests d’intrusion peuvent être attrayants pour les organisations, plus particulièrement pour celles qui ne disposent pas d’un personnel dédié à la sécurité informatique. Faire appel à des experts pour un projet structuré avec un échéancier spécifique et un ensemble de produits livrables est facile à comprendre pour la direction et produit des résultats tangibles tels que des rapports et des attestations. Cette approche permet également de s’assurer que tout ce qui est défini dans la porté est audité correctement et que les services sensibles sont traités avec discrétion – ce qui n’est pas garanti avec un programme de bug bounty.

Avec un test d’intrusion, les organisations sont en mesure de prouver qu’elles ont corrigé toutes les vulnérabilités identifiées et qu’elles disposent de la documentation nécessaire pour le prouver. Cela peut contribuer grandement à renforcer la confiance des clients et à satisfaire les exigences de sécurité des tiers, tels que les assureurs et les régulateurs.

Choisir un bug bounty

Pour les grandes organisations disposant de ressources pour une équipe dédiée à la sécurité informatique, les bug bounties sont d’une grande utilité. Surtout si l’organisation oeuvre dans l’industrie technologique comme le « Software as a Service » (SaaS). En exploitant les connaissances collectives de la communauté mondiale de la sécurité de l’information, les vulnérabilités peuvent être identifiées et corrigées en toute sécurité avant qu’elles ne soient exploitées par un acteur malveillant.

Si vous décidez de mettre en place un programme de bug bounty, assurez-vous que votre organisation est prête à y consacrer les ressources nécessaires. Le programme a besoin de personnel pour le gérer, de primes suffisamment élevées pour attirer l’attention et d’une initiative marketing pour le promouvoir au sein de la communauté de la sécurité. Préparez-vous à recevoir un grand volume des resultat de piètre qualité émanant de testeurs qui n’ont pas lu les règlements ou qui tentent de gagner de l’argent rapidement. Cela va sans dire que la réalisation de bug bounty n’est pas problématiques en soi, mais plutôt l’accessibilité du projet aux chercheurs avec moins d’expérience. Bref, les bug bounties demandent plus d’effort de votre côté, mais peuvent en valoir la peine au bout du compte.

La bonne nouvelle: vous pouvez choisir les deux.

En général, il est recommandé de commencer par un test d’intrusion et d’en effectuer un sur une base annuelle ou précédant le lancement d’un nouveau produit. Cela garantit que rien n’est laissé au hazard et que votre cybersécurité est conforme aux standards de l’industries. Pour les organisations qui effectuent déjà des tests d’intrusion sur une base annuelle, l’ajout d’un programme de bug bounty permet d’assurer sa sécurité entre chaque test.

Conclusion

À mesure que les infrastructures informatiques vieillissent et deviennent plus complexes, les techniques utilisées par les cybercriminels pour extorquer leurs victimes sont de plus en plus sophistiquées. Au minimum, une défense appropriée contre ces menaces comprend des tests d’intrusion effectués par une entreprise spécialisée. Pour les organisations qui veulent aller plus loin, les bug bounties sont une initiative de sécurité supplémentaire qui permet de garder une longueur d’avance sur les pirates. C’est une bataille qui se déroule sur plusieurs fronts.

Restez à l'Affût des Cyber Menaces !
Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Récentes Publications

Catégories

Principaux Services

Récents Articles de Blog

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Aucun engagement. Réponse sous 24h.
Scroll to Top

PRENEZ RENDEZ-VOUS AVEC UN EXPERT

Entrez Votre Courriel Corporatif