Bug Bounty : la nouvelle approche de la cybersécurité

Et si les hackers étaient les gentils ? Après le choc du malware NotPetya, la dernière cyber attaque d'envergure, nous avons décidé de vous parler du BugBounty et de la communauté de hackers éthiques de Korben. Une nouvelle pratique de la sécurité basée sur les talents et la passion. Pour vous, Digitools a interviewé le blogueur français Manuel Dorne alias Korben lors du Web2Day.

0
6085
bug_bounty_interview_korben

Manuel Dorne alias Korben Korben est à l’initiative de la plateforme européenne de Bug Bounty : BountyFactory et une communauté de chercheurs en sécurité YesWeHack.

Le Bug Bounty, c’est une nouvelle façon de voir la cybersécurité. C’est en somme une façon de se baser sur les compétences des hackers, ou chercheurs en sécurité (terme moins controversé) en les laissant traquer les failles des sites et applications des entreprises.

Une approche nouvelle de la cybersécurité

La plateforme de bug bounty sert à lancer des programmes de veille basées sur les nombreux hackers de la communauté. Ceux-ci s’activent pour trouver des failles sans durée limite de travail, offrant ainsi un résultat démultiplié contrairement à un programme classique.

En effet, il n’y a pas d’intervention sous forme de forfait pour quelques chercheurs. Mais bien une communauté entière qui génère une expertise. Les membres sont uniquement rétribués lorsqu’une faille est découverte. Il devient alors possible pour les chercheurs en sécurité d’effectuer ce genre d’analyse comme unique source de revenu ou en complément.

L’entreprise est garantie de la confiance et des relations entre elle et les membres de la communauté. L’entreprise fixe elle-même les ”règles du jeu”, en définissant le genre de faille à trouver, les limites à respecter dans le processus de recherche, ainsi que les niveaux de criticité des failles.

Une communauté de hackers en accord avec la législation européenne et son éthique

Programme européen, cette initiative permet désormais aux entreprises de l’UE de faire tester le travail de ses développeurs.

Cette technique s’effectue dans le respect des nouvelles réglementations européennes de minimisation du stockage de données personnelles. Ceci à des fins de protection et de lutte anti-terroriste.

Le tout en échappant au contrôle étasunien du Patriot Act… Celui-ci risquerait de voir les failles d’une entreprises européenne découvertes être utilisées sous forme de pressions. Un nouveau type guerre économique pour faire taire un concurrent ! C’est ainsi que le choix d’une plateforme européenne voire nationale s’avérerait plus “protecteur” qu’un service proposé par Google ou Mozilla.

Réhabiliter les hackers et découvrir de jeunes talents avec le Bug Bounty

Le marché des chercheurs en sécurité est très tendu. La demande de main-d’oeuvre qualifiée est très élevée surtout face aux risques multiples et attaques telles que la dernière du malware NotPetya.

Cependant l’activité des hackers a trop souvent été réduite à son versant criminel, laissant dans l’ombre de jeunes talents. 

Il s’agit donc pour les adeptes du Bug Bounty de revaloriser cette activité afin de faire naître une expertise française en la matière.


Vous avez aimé cet article ? Alors partagez-le avec vos connaissances pouvant être intéressées 🙂