En raison de la récente vague d ‘ incidents liés à des ransomwares, les organisations et les administrateurs informatiques nerveux se demandent comment se protéger pour ne pas être victimes de ces attaques. Une chose est certaine: réaliser des tests de sécurité uniquement à l’interne n’est plus suffisants pour prévenir les incidents dans l’ère numérique moderne. Si un simple oubli est fait par une équipe informatique lors de la mise en œuvre de vos systèmes, ce même oubli risque d’être fait lors des tests internes sont réalisés, car l’analyse sera réalisée par la même personne en cause.
C’est pourquoi les organisations se tournent vers les tests d’intrusion pour améliorer leur sécurité. Impliquer une expertise externe est nécessaire afin de détecter les vulnérabilités qui ne sont pas détectées par les processus internes et qui sont activement exploitées par les cybercriminels modernes. Une question se pose alors : bug bounties vs. tests d’intrusion – lequel convient le mieux à mon organisation ?
Dans cet article, nous aborderons les différences entre les deux initiatives, nous analyserons les coûts ainsi que les efforts associés et nous vous aiderons à déterminer laquelle est la mieux adaptée à votre contexte.
C’est quoi un Bug Bounty?
En bref : les bug bounties sont des projets d’audit de sécurité accessibles à tous ceux qui se portent volontaires. Essentiellement, les organisations participantes invitent les gens à essayer de les pirater selon des cibles très précises afin de déterminer la possibilité d’un attaquant d’exploiter des failles de sécurité. Ceux qui y parviennent réclament une prime. Des chercheurs indépendants en sécurité situés à travers le monde tentent ainsi de découvrir et de signaler ces vulnérabilités que les acteurs malveillants pourraient être en mesure d’exploiter, avec l’autorisation de l’organisme ciblée. Les sommes d’argents qui sont déboursés à ces chercheurs varient généralement en fonction de la gravité des vulnérabilités qui sont identifiées.
Voila l’essentiel à savoir concernant les bug bounties. Les programmes de bug bounty peuvent être réalisés à l’interne ou à l’aide de plateformes telles que HackerOne ou Bugcrowd. Une organisation publie les règles d’engagement (qui, espérons-le, sont respectées par la communauté) et gère les choses à partir de là.
Qu’est-ce qu’un test d’intrusion ?
Alors que les bug bounties sont essentiellement de la cybersécurité financée par la foule, tests d’intrusion sont un engagement structuré avec une équipe d’experts du secteur. Dans ce contexte, les organisations travaillent avec une entreprise de cybersécurité spécialisée dans les audits de sécurité pour réaliser le test. Les deux parties travaillent ensemble pour définir la portée et les objectifs de la mission tout en collaborant tout au long du processus dans un délai convenu. À la fin du projet, les entreprises reçoivent généralement un rapport professionnel détaillant les vulnérabilités découvertes et des recommandations pour les corriger. Par la suite, les spécialistes sont disponibles pour de futurs échanges et conseils en matière de sécurité afin d’assurer une mise en oeuvre adéquate des correctifs.
Si les primes aux bugs sont réalisées par des cow-boys, les tests d’intrusion sont effectués par les shérifs et les adjoints dont les badges prennent la forme de certifications et de pratiques reconnues par l’industrie. C’est moins “Wild West” et plus “Johnny Law”.
Comparaison entre les deux : bug bounties et tests d’intrusion
Les critères suivants permettent d’illustrer les principales différences entre les programmes de primes à la détection de bogues et les tests d’intrusion:
| Catégorie | Bug Bounty | Test d’Intrusion |
| Portée |
Ensemble de règles créées par l’organisation. Généralement limité aux ressources publiquement accessibles de l’organisation*. |
Établi au début du projet. Peut inclure des services exigeant une authentification et contenant des informations sensibles. Peut cibler l’infrastructure interne. |
| Ressources |
Le personnel interne doit gérer le projet et répondre aux soumissions des chercheurs indépendants pendant qu’il est en cours. Un logiciel est nécessaire pour suivre ces soumissions. Certains frais en lien avec cette gestion peuvent être atténués par l’utilisation d’une plateforme de bug bounty. |
Réunions de gestion de projet tout au long du test. Recueil d’informations (par exemple, documentation du service et plages de réseau) et configuration de l’accès fournit aux testeurs. |
| Coûts |
Coûts imprévisibles. Les paiements déboursés aux chercheurs doivent être suffisamment élevées pour susciter l’intérêt. Un grand nombre de découvertes peut conduire à des frais plus élevés que prévu. Des coûts additionnels peuvent être générés par le personnel qui doit gérer le projet à l’interne. |
Prévisible et préétabli lors de l’entente initiale. Les coûts varient en fonction de l’étendue du travail, mais peuvent être aussi bas que $5,000 à $7,000 pour les startups et petites entreprises. |
| Résultats | Rapports individuels pour chaque vulnérabilité découverte. |
Rapport complet comprenant les vulnérabilités priorisées par niveau de risque, les mesures correctives ainsi que des recommandations supplémentaires. Réunion à la fin du projet pour discuter des résultats afin d’assurer sa compréhension. Produit une attestation pouvant être fournie aux clients/compagnies d’assurance prouvant que vous avez mené le processus et traité les vulnérabilités à l’aide d’un fournisseur reconnu. |
Choisir entre les deux
Choisir de faire un test d’intrusion
La nature structurée et les coûts prévisibles des test d’intrusion peuvent intéresser les organisations, en particulier celles qui n’ont pas de personnel dédié à la sécurité informatique. Faire appel à des experts pour un projet structuré avec un échéancier spécifique et un ensemble de produits livrables est facile à comprendre pour la direction et produit des résultats tangibles tels que des rapports et des attestations. Cette approche permet également de s’assurer que tout ce qui est défini dans la porté est audité correctement et que les services sensibles sont traités avec discrétion – ce qui n’est pas garanti avec un programme de bug bounty.
Si une organisation est en mesure de dire qu’elle a effectué un test d’intrusion, qu’elle a corrigé toutes les vulnérabilités identifiées et qu’elle dispose de la documentation nécessaire pour le prouver, cela peut grandement contribuer à renforcer la confiance des clients et à satisfaire les compagnies d’assurance et les autorités de réglementation.
Choisir un bug bounty
Pour les grandes organisations disposant de ressources pour une équipe dédiée à la sécurité informatique, les bug bounties sont d’une grande utilité. Surtout si l’organisation oeuvre dans l’industrie technologique comme le “Software as a Service” (SaaS). En exploitant les connaissances collectives de la communauté mondiale de la sécurité de l’information, les vulnérabilités peuvent être identifiées et corrigées en toute sécurité avant qu’elles ne soient exploitées par un acteur malveillant.
Si vous décidez de mettre en place un programme de bug bounty, assurez-vous que votre organisation est prête à y consacrer les ressources nécessaires. Le programme a besoin de personnel pour le gérer, de primes suffisamment élevées pour attirer l’attention et d’une initiative marketing pour le promouvoir au sein de la communauté de la sécurité. Préparez-vous à recevoir un grand volume des resultat de piètre qualité émanant de testeurs qui n’ont pas lu les règlements ou qui tentent de gagner de l’argent rapidement. Cela va sans dire que la réalisation de bug bounty n’est pas problématiques en soi, mais plutôt l’accessibilité du projet aux chercheurs avec moins d’expérience. Bref, les bug bounties demandent plus d’effort de votre côté, mais peuvent en valoir la peine au bout du compte.
La bonne nouvelle: vous pouvez choisir les deux.
En règle générale, il est judicieux de commencer par un test d’intrusion et de prendre l’habitude d’en effectuer un chaque année ou avant le lancement d’un nouveau produit. Cela garantit que rien n’est laissé au hazard et que votre cybersécurité est conforme aux standards de l’industries. Pour les organisations qui effectuent déjà des test d’intrusion, l’ajout d’un programme de récompense des bogues peut améliorer leur posture de sécurité entre les tests.
Conclusion
À mesure que les infrastructures informatiques vieillissent et deviennent plus complexes, les techniques utilisées par les cybercriminels pour extorquer leurs victimes sont de plus en plus sophistiquées. Au minimum, une bonne défense contre ces menaces comprend des test d’intrusion effectués par une société spécialisée. Pour les organisations qui veulent aller plus loin, les bug bounties sont une initiative de sécurité supplémentaire qui permet de garder une longueur d’avance sur les pirates. C’est une bataille qui se déroule sur plusieurs fronts.
