Le blog
Transformation digitale
Testing et sécurité : pourquoi choisir le bug bounty ?
13 juin 2017 par L'équipe Soluti

On le sait, vous êtes sensible aux chiffres : 81 % des entreprises françaises indiquent avoir été la cible d’une cyberattaque en 2015 ! En bref, à notre époque ultra-connectée, la cybersécurité doit devenir une priorité pour les professionnels. Et si vous vous tourniez du côté du bug bounty pour protéger ses données ? Pour vous aider à y voir plus clair, SOLUTI est allé à la rencontre de Yassir Kazar, fondateur de Yogosha, entreprise spécialisée du bug bounty. Qu’est-ce que c’est, à quoi ça sert : on vous dit tout sur le sujet !

Les méthodes de testing traditionnelles

Le bug bounty, c’est une (vraie) révolution en matière de détection des failles de sécurité. Jusqu’à présent, on connaissait deux solution “classiques” pour déceler ce genre de problèmes : les scanners automatiques et les tests d’intrusion… mais chacune présentait des inconvénients lui étant propres.

Le scanner ? Il n’utilise, de fait, aucune intelligence humaine et produit des rapports de test pas toujours pertinents. Sans compter qu’il ne suit aucun scénario d’exploitation : il scanne le code, c’est tout. Le test d’intrusion ? Il est mené par des humains, c’est vrai… mais il est aussi limité dans le temps, car facturé au jour-homme, en général. Pas évident d’être exhaustif dans ce cas !

“Le bug bounty répond aux enjeux des entreprises digitales car il s’inscrit dans une logique de solution en continu.” - Yassir Kazar

Le testing en mode bug bounty, ça donne quoi ?

“En quoi le bug bounty change-t-il la donne ?” vous demandez-vous. C’est tout simple : cette méthode de testing permet de corriger tous ces défauts dans la recherche de failles de sécurité. Très concrètement, le bug bounty consiste à mettre en relation des chercheurs (de failles) avec des entreprises. Ces dernières demandent aux premiers de détecter les bugs dans les systèmes. Et de leur faire un rapport détaillé.

bug bunty securité IT

Et si on applique ces ingrédients à la sauce Yogosha, on obtient une recette qui fonctionne ! Le client fournit un budget fixe, qui correspond à un “crédit failles”. En clair, la chasse aux bugs se poursuit tant que les chercheurs n’ont pas fait remonter le nombre de failles correspondant au budget client. Un peu comme Adwords, sauf qu’on ne paie pas au clic, mais au bug !

“Le bug bounty permet au client de se concentrer sur l’essentiel et d’entrer dans une logique de résultat.” - Yassir Kazar

Les avantages du bug bounty

Maintenant que vous savez en quoi consiste le bug bounty, vous devez avoir une idée des avantages apportés par cette méthode. On vous détaille (quand même) 4 de ses bénéfices :

  • D’abord, elle corrige la pénurie de profils tech orientés cybersécurité (estimée à 75%), qui dure depuis un moment et semble bien partie pour se prolonger. Les premières à en subir les conséquences ? Les entreprises, qui ne peuvent pas se protéger comme elles le voudraient !
  • Ensuite, les entreprises qui proposent ce service, comme Yogosha, s’appuient sur des profils rares, trouvés hors des circuits traditionnels de recrutement. Des perles introuvables ailleurs, donc.
  • Les entreprises y trouvent financièrement leur compte : le client valide les rapports avant de payer. En bref ? Si les résultats ne sont pas pertinents, ça ne lui coûte rien.
  • Les chercheurs de failles sont des humains. Il y a donc une véritable émulation et un réel partage entre eux et les développeurs en interne de l’entreprise commanditaire.

En résumé, le testing est un incontournable de la sérénité. En prouvant à vos prospects que vous jouez la carte de la sécurité, vous améliorez votre potentiel d’acquisition, voire de fidélisation. Faire appel à un prestataire vous permettra de vous assurer d’avoir quelqu’un sous la main qui ne ferait « que » ça — et qui le fera bien ! Attention cependant : le bug bounty est un complément essentiel aux autres démarches existantes sur le marché. Deux méthodes valent mieux qu’une, c’est bien connu !

Merci à Yassir Kazar pour son intervention sur le sujet ! Rendez-vous sur le site de Yogosha pour en apprendre encore davantage sur cette méthode de testing business-friendly.

Source chiffrée : http://www.pourparlers.eu/2017/02/5-chiffres-a-connaitre-de-cybersecurite/


Crédits photos : Pixabay.com (TheDigitalWay), Unsplash.com (Maxime Jacquet)


On en parle

Articles similaires

Comment devenir un champion de la planification de projet ?
Les 6 erreurs à commettre pour échouer la gestion d’un projet digital
Le portrait-robot du chef de projet digital idéal