People

Le hacker, un acteur incontournable œuvrant pour la protection des sociétés – Korben

A l’ère de la transformation digitale, les entreprises font face à des cyberattaques de plus en plus fortes. C’est dans ce contexte que le Bug Bounty s’est développé. L’objectif : renforcer la cybersécurité des entreprises. Ainsi, en 2016 YesWeHack a lancé Bounty Factory. Nous avons échangé avec Korben, son co-fondateur.

Le Bug Bounty pour les nuls

Le Bug Bounty expliqué en deux phrases

Le Bug Bounty consiste à demander à une communauté de hackers éthiques de trouver des failles sur un système informatique. En fonction de la criticité de la faille trouvée, les chercheurs sont récompensés par une prime plus ou moins importante.

Un bounty et ça repart

La mission de YesWeHack et de Bounty Factory sur Terre ?

Notre objectif est de prouver que le savoir-faire d’une communauté de plus de 4 500 hackers éthiques et d’experts en sécurité informatique contribue à mieux sécuriser les systèmes d’informations de nos démocraties et de nos entreprises en pleine transformation numérique. Un hacker par essence est une personne curieuse qui cherche à savoir comment les systèmes fonctionnent et quelles vulnérabilités ils comportent. Le hacker devient un acteur incontournable œuvrant pour la protection des sociétés !

Nous proposons aussi des programmes de Bug Bounty publics sans frais pour les ONG qui travaillent à défendre les droits fondamentaux. Dans ce cadre que nous sommes fiers d’aider Reporters Sans Frontières, OCCRP.org, et le projet ForbiddenStories.org. Nous avons aussi lancé ZeroDisclo.com, afin de faciliter la divulgation éthique de vulnérabilités : un moyen de renforcer la coopération entre les acteurs.

Nouvelles VS anciennes méthodes 

Bug Bounty VS Audit classique ?

Contrairement au Bug Bounty, un audit classique est restreint dans le temps, limité en ressources et sans obligation de résultat. Grâce à BountyFactory, un client peut se confronter à la réalité dans un cadre légal et ainsi bénéficier de l’expertise d’une communauté. Les bugs rapportés lors d’un programme public sont 4 fois plus nombreux ! De manière opérationnelle, les audits classiques et le Bug Bounty sont complémentaires.

Les secteurs d’activités les plus sensibles 

Qui peut faire appel au Bug Bounty ? Y a-t-il des secteurs d’activité plus préoccupés ?

Tout le monde peut lancer son programme de Bug Bounty:  start-up, PME,  ONG,  société du CAC 40 ou encore administration publique. Plus votre budget est important, plus vous pouvez mobiliser des experts et par conséquent plus nombreuses et intéressantes seront leurs trouvailles. Les secteurs d’activités les plus enclins à tirer profit du Bug Bounty sont la finance, les administrations, l’énergie, la santé et plus généralement toutes les organisations ou les projets qui traitent des données à caractère personnel.

Les craintes  face aux bug Bounty 

Les principales craintes auxquelles vous faites face ?

Faire comprendre aux entreprises européennes que le Bug Bounty est un atout prend du temps et c’est bien logique. Toutefois, nous sommes confiants quant à l’élargissement de ce marché en Europe, et nous comptons à ce jour de belles références:  BlaBlaCar, OVH, Orange, Outscale, ERCOM, Qwant ou encore CCM BenchMark… Une relation de confiance, notre histoire, l’efficacité de notre communauté et nos clients sont nos meilleurs arguments pour convaincre  ! Et aujourd’hui l’Union Européenne montre l’exemple en finançant des programmes de Bug Bounty pour auditer les produits opensource utilisés par les acteurs et les citoyens européens.

Remember the future

Nous sommes en 2028, comment imaginez-vous la cybersécurité dans notre monde ? Va-t-on assister à une cyberwar ?

En 2028, l’IA sera capable d’aider à la prise décision de manière significative en termes de cybersécurité. Il restera le facteur humain incontournable capable de faire le bien autant que le mal. La cybersécurité est avant tout une question de gestion de ressources humaines ! Quant à la cyberwar, les menaces augmentent avec le développement d’objets, de véhicules et de villes connectés au détriment de la sécurité. Dans ce contexte, les chercheurs en sécurité et les organisations devront redoubler d’effort pour mieux coopérer et tendre vers une coordination plus efficace.

Protégez vos données personnelles :