Cybersécurité : Le Bug Bounty fait-il de l’ombre aux audits de sécurité ?

19 juillet 2019

Analyse

Un Bug Bounty est une méthode de cyberdéfense participative lancée par une entreprise. Celle-ci s’engage à offrir une récompense financière à tous ceux qui trouvent des failles de sécurité dans un périmètre donné au préalable, chaque organisateur énonce les limites à ne pas franchir afin d’éviter tout débordement.

Plus la faille remontée est importante (criticité, complexité) et développée (avec documentation, Proof of concept, patch…), plus le montant de la récompense l’est également.

Bug Bounty : quels avantages ?

Organiser un programme de Bug Bounty permet de montrer sa transparence en terme de sécurité, de pouvoir communiquer dessus mais aussi de réagir rapidement si une vulnérabilité est trouvée. Cela permet également de détourner du marché noir certains hackers susceptibles d’attaquer un site ou de dévoiler une vulnérabilité, en les rémunérant et donc passer du côté de la légalité.  Le client qui soumet son SI à un Bug Bounty se doit d’être flexible puisque l’audit continu peut s’arrêter et reprendre n’importe quand.

Cependant, le principal avantage du programme de Bug Bounty consiste à permettre des tests en continu et par un grand nombre de personnes.
Il peut se révéler intéressant, pour une entreprise sûre de son niveau de sécurité face aux hackers, d’exposer un site web sur une plateforme de Bug Bounty afin de bénéficier de feedbacks complémentaires. Organiser un Bug Bounty est aussi vecteur d’une image positive, d’une organisation qui se soucie de sa sécurité. C’est un évènement sur lequel les sociétés n’hésitent pas à communiquer contrairement à l’audit de sécurité (test d’intrusion).

Qu’est-ce qu’un audit de sécurité ?   

Un audit de sécurité ou appelé également test d’intrusion (pentest en anglais) est une méthode d’évaluation de la sécurité d’un système d’information ou d’un réseau informatique. Le test d’intrusion est réalisé par une entreprise spécialisée en cybersécurité, définit dans le temps, et avec à la fin un rapport d’audit détaillé .

Grace à l’audit de sécurité, le client est informé des dates de tests, des IPs utilisées par les attaquants ainsi que des différentes phases de l’audit via des rapports. Il peut également demander des restrictions, ou encore un focus spécifique. Cette méthode « personnalisable » est un des atout de l’audit de sécurité : les entreprises sont rassurées et peuvent profiter d’un accompagnement spécifique ainsi que d’un service efficace.

Audit de sécurité (pentest) vs Bug Bounty : quelles différences ?

Faire réaliser un audit de sécurité revient à opter pour une approche structurée : la recherche de vulnérabilités à l’aide d’une méthodologie stricte permettant de couvrir un maximum d’aspects du système exposé. L’audit est défini dans le temps et est planifié. Le client a un interlocuteur dédié qui lui livrera toutes les faiblesses identifiées (failles, corrections, risques) ainsi qu’un rapport d’audit détaillé.
Mettre en place un Bug Bounty permet d’ouvrir la recherche de failles à un nombre important de personnes, de tous niveaux et secteurs d’activité. Ces personnes mènent à bien leurs recherches en fonction de leur temps disponible, et déclarent leurs trouvailles petit à petit, par l’intermédiaire d’une plateforme en ligne. Cependant, organiser un Bug Bounty peut se révéler dangereux compte tenu qu’aucun contrat n’est établi avec les chercheurs et que des personnes mal intentionnées peuvent y participer facilement.

Mais alors, lequel choisir ?
Le pentest  est la meilleure solution dans les cas suivants :

Lors d’un audit de sécurité ayant pour objectif de communiquer auprès de ses clients ou partenaires : le livrable remis à la fin de ce dernier pourra en effet être utilisé comme support de communication.
Lors de la mise en place d’un premier test de sécurité : si l’entreprise cliente n’est pas sûre de la sécurité de son système d’information, il est judicieux de faire appel à un expert, de confiance, qui sera disponible pour des explications claires et précises.
Lors de tests approfondis sur des parties dites « sensibles » : par exemple pour un logiciel fermé, accessible uniquement avec un identifiant et un mot de passe. Dans ce cas, il est nécessaire de faire appel à un expert afin d’éviter de fournir des identifiants à un nombre élevés de personnes (n’agissant pas pour une seule et même société).

Le Bug Bounty est complémentaire de l’audit dans les cas suivants :

Lorsqu’une entreprise souhaite élargir les tests à un périmètre déjà sécurisé et qui n’est pas sensible : une vision extérieure est toujours bonne à prendre et permet de faire remonter d’éventuels oublis.
Quand l’entreprise souhaite réaliser des tests de sécurité sur des sites exposés au grand public, sans risque de sécurité majeur et sans données confidentielles.
Si le budget de l’entreprise est faible, les audits de sécurité ayant un coût conséquent, ils peuvent être suivis d’un programme de Bug Bounty. Par exemple : lorsqu’une vulnérabilité est avérée, une récompense liée au type de la vulnérabilité est débloquée. L’effort dépensé et la durée de recherche pour identifier cette dernière n’est pas prise en compte dans le calcul du montant de la récompense.
Ces deux pratiques sont donc complémentaires et dépendent des objectifs et enjeux de sécurité d’une entité.

Besoin de plus d'informations

Caroline MARTIN
Caroline MARTIN

Chargée de communication

Caroline MARTIN est responsable communication chez Sysdream, la division cybersécurité d’Hub One. Dans la vie, Caroline est une passionnée de cuisine du monde particulièrement asiatique. Aussi aime-t-elle approfondir ses connaissances lors de salons et expositions en tous genres. Son application favorite est sans doute Spotify qui lui permet d’écouter ses musiques favorites mais aussi de découvrir de nouveaux artistes.


Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies