La cybersécurité, une démarche responsable qui offre un avantage compétitif

La progression du tout-numérique dans les environnements professionnels place la question de la sécurité des données en première ligne des préoccupations stratégiques. Pour comprendre comment détecter les failles des systèmes d’information et se prémunir des intrusions, ONE blog a eu le plaisir d’interroger M. Yassir Kazar, hacker et cofondateur de Yogosha, plateforme spécialisée dans la chasse aux bugs complexes.
Bonjour M. Kazar. Pouvez-vous nous présenter votre entreprise Yogosha ?

Yogosha signifie « défense » en japonais. Nous avons conçu une plateforme de confiance où les entreprises peuvent missionner une communauté d’experts en sécurité informatique pour déceler les failles de sécurité de leurs systèmes d’information. Cela peut être un site internet, une application ou plus largement tout ce qui est exposé sur le web. Notre objectif est de basculer dans une logique de résultats. Nos chercheurs remontent les failles et les entreprises payent à la faille avérée. Si la communauté ne trouve rien, l’entreprise n’a rien à payer.

Toutes les entreprises, grandes ou petites, sont-elles concernées par la cybersécurité ?

Oui, elles le sont toutes. Prenez par exemple la directive GDPR (ndlr : General Data Protection Regulation) qui vise à responsabiliser l’ensemble des acteurs sur la cybersécurité. En simplifiant un peu, une entreprise qui subirait des attaques résultant en une fuite des données des utilisateurs serait obligée d’en informer les instances institutionnelles et de démontrer qu’elle a fait le nécessaire pour éviter ce type d’attaque. Si elle ne parvient pas à se justifier, elle risque une pénalité comprise entre 2% et 4% du chiffre d’affaires.

Il faut bien réaliser que nous quittons un monde dans lequel la sécurité a longtemps été considérée comme un centre de coûts et un frein à une innovation rapide. Aujourd’hui, la sécurité devient un vrai sujet stratégique suivi aux plus hauts niveaux de l’entreprise. Nous entrons dans un monde où les fuites de données chez Yahoo ont un impact immédiat sur sa valorisation aux yeux de Verizon qui souhaite la racheter, où les utilisateurs finaux privilégient les sites internet de confiance disposant du fameux petit cadenas vert dans la barre d’adresse, etc. Le fait que de plus en plus de CEO et de DAF se sentent concernés par la cyber sécurité est d’ailleurs le meilleur des indicateurs. Il faut comprendre qu’une politique sérieuse de cybersécurité est un avantage compétitif aujourd’hui.

Votre entreprise Yogosha pratique le « bug bounty », la prime au bug identifié, quelle est la particularité de cette démarche ?

Une de nos spécificités est d’opérer un travail préalable de sélection de chercheurs avec lesquels nous allons travailler. Contrairement à d’autres plateformes, nous avons choisi un modèle fermé : tout le monde ne peut pas s’y inscrire en tant que chercheur. Cela nous permet de constituer un panel de compétences diversifiées et de profils complémentaires pour couvrir les différents types de failles possibles. À la fin de leur mission, lorsque nos chercheurs livrent leur rapport d’observation, deux cas de figure se présentent. Soit l’entreprise dispose des ressources et des compétences nécessaires pour corriger les failles détectées, nous effectuons alors un double-check avec eux, soit nous la dirigeons vers des prestations d’accompagnement.

Nous insistons aussi lourdement sur un fait que le client ne réalise pas toujours : démarrer un programme de Bug Bounty génère énormément de travail en interne. Cela demande d’avoir à minima une ressource dédiée pour absorber le flot d’informations que nous leur transmettons et apporter les correctifs. Je parle ici de vraies failles de sécurité, pas de bugs fonctionnels.

Vous parliez tout à l’heure de la « politique de cybersécurité » des entreprises, quelles en sont d’après votre expérience les grandes composantes ?

Lorsque l’on conçoit une stratégie de cybersécurité, il faut absolument réfléchir en couches. La sécurité est comme un parcours d’obstacles, si vous voulez. Plus il y aura d’obstacles, plus les attaques seront difficiles à mener. Il n’y a évidemment pas de parcours type, la nature des différents obstacles doit être adaptée à la problématique métier du client. Le bug bounty ne peut donc pas être l’unique solution à envisager, il doit être considéré comme une offre parmi l’ensemble et positionné correctement pour en tirer le meilleur bénéfice.

Quels seraient vos trois conseils en matière de sécurité informatique ?

Le premier, c’est qu’il faut très vite opérer un changement de regard sur la cybersécurité. Elle doit être considérée comme un avantage concurrentiel et non un centre de coûts.

Deuxièmement, la sécurité doit être abordée dès le développement des produits ou des services. Pendant très longtemps la sécurité n’a été un sujet qu’a posteriori, il faut aujourd’hui en faire un sujet a priori. Ce n’est pas une fois que la solution est sur le marché qu’il faut commencer à se soucier des failles.

Mon dernier conseil qui est plus une réflexion globale porte sur la question de la confiance qui est primordiale dans la cyber sécurité en générale et  le bug bounty en particulier. La définition même de la confiance c’est d’accepter d’être vulnérable. Il faut accepter l’idée aujourd’hui nous sommes tous vulnérables. Il faut donc rapidement sortir du marketing de la peur et s’engager dans des démarches plus responsables qui privilégient le qualitatif au quantitatif et combinent intelligemment les différentes solutions qui existent sur le marché.

Crédit photo : L’Express l’Entreprise