Aller au contenu | Aller au menu | Aller à la recherche

Bug Bounty et Transformation digitale

J'ai rencontré l'autre jour Guillaume Vassault-Houlière, patron de Yes We hack (site), et j'en suis sorti enthousiaste. Voici en effet une société française de Bug bounty. Selon Wikipedia : "Un bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus".

Yes_we_Hack.jpg

Cliquez pour lire la suite

Or, ces programmes sont habituellement lancés par de grandes sociétés, notamment les GAFA. Là, il s'agit d'avoir une communauté de hackers (chapeau blanc) sélectionnés et qui offrent des services à différentes entreprises.

D'accord, me direz-vous, mais pourquoi cet enthousiasme ?

Parce qu'il me paraît annonciateur du changement de paradigme de la cybersécurité.

Il se trouve que je conduis depuis deux ans un gros programme de transformation digitale et que je constate à quel point il entre en contradiction avec la cyber traditionnelle et son paradigme, celui du château fort.

Prenons justement cette image : pour protéger la place (devenue forte), on a installé murailles, échauguettes, créneaux, escarpes et contrescarpes, patrouilles et sentinelles (firewall, antivirus, SOC, défense dans la profondeur...). On est passé de la motte féodale au château-fort, de la citadelle de Vauban à la ligne Serré de Rivière (1885), dernière forteresse physique construite en France. Et puis on a abandonné ces fortifications. Parce qu'on a inventé l'arme à feu, la mobilité (la manœuvre), le couple char-avion et la dissuasion nucléaire. Bref, la logique de forteresse a eu du sens stratégique (je reste un admirateur de la poliorcétique) mais finalement, on est passé à autre chose. Cela étant, en Afghanistan ou dans la BSS, dans les FOB, on met toujours du bastion wall autour des garnisons, tout comme les Romains le faisaient en leur temps.

Autrement dit, une approche stratégique peut être désuète mais conserver des vertus tactiques. Ou encore : ne pas jeter le bébé avec l'eau du bain. Bref, je ne suis pas dire qu'il faut mettre à la poubelle toutes nos bonnes pratiques de cybersécurité. Mais...

Mais donc ? Donc, yes we hack peut enthousiasmer tout d'abord par son modèle économique (une plateforme, des contrats juridiquement béton , etc.). Et vraiment, je les en félicite. Mais là n'est pas le plus important : ils ont juste inventé une plasticité de cybersécurité qui me semble parfaitement adaptée aux conditions de la transformation digitale en cours, 4ème vague de la révolution informatique que nous vivons depuis 35 ans.

En effet, celle-ci est caractérisée par son ultra décentralisation, sa mobilité, son rythme. Quand les grands éditeurs de logiciels mettent en ligne des mises à jour toutes les dix heures, quel est le sens d'un audit de sécurité à la papa ? Voici en quoi les bugs bounty répondent au sujet : permanence, décentralisation, réactivité, agilité. En cela, ils ouvrent la voie à une autre approche cyber. Et ça, c'est une sacrément bonne nouvelle.

O. Kempf

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/2185

Fil des commentaires de ce billet