Accueil Cybersécurité Expertise cybersécurité – Le Clusif recommande les programmes Bug Bounty

Expertise cybersécurité – Le Clusif recommande les programmes Bug Bounty

Red Team, Bug Bounty… pour mieux protéger un SI hybride, le Clusif invite les RSSI à cerner les vulnérabilités des systèmes distribués au travers de démarches innovantes.

Plusieurs plateformes et services cloud gagnent maintenant les infrastructures
d’entreprise, introduisant de nouvelles vulnérabilités à anticiper. « Nous recommandons de
mettre en œuvre des moyens de détection adaptés comme par exemple le Bug Bounty, un
dispositif pour identifier les vulnérabilités, en complément de la revue de codes et des
tests d’intrusions », signale Henri Codron, le vice-président du Clusif (Club de la sécurité
de l’information français) et RSSI de Schindler.

Détecter les brèches des services en ligne

Le programme de Bug Bounty cible les développeurs de l’entreprise et les encourage à
détecter de nouvelles failles ou défauts logiciels introduits par les nouvelles plateformes
ouvertes sur Internet. La découverte d’une brèche inédite et exploitable immédiatement
peut être récompensée sous la forme d’une distinction honorifique ou de tout autre forme
de reconnaissance professionnelle. Clément Domingo, RSSI de Sopra Steria, a précisé
l’évolution de cette démarche le 18 octobre dernier lors d’une conférence du Clusif
cherchant à évaluer la solidité de son SI.

Henri Codron

« L’approche DevOps et le développement agile apportent un nouveau vocabulaire et des livraisons de logiciels tous les 15 jours. Cela confirme un changement de fonction du RSSI qui devient plus un communicant qu’un technicien. Il s’agit de faire évoluer le vocabulaire du RSSI, de repenser les analyses de risques afin de les adapter aux nouveaux cycles courts, puis de s’intégrer, dès la conception, aux équipes de développement agile », souligne Henri Codron.
Pour sa part, la Red Team constitue une cellule de professionnels indépendants, des prestataires externes mettant au défi l’organisation pour améliorer son efficacité. Elle endosse provisoirement le rôle de cyber-attaquants ou d’utilisateurs mal intentionnés tentant de pirater la messagerie d’un dirigeant, par exemple. Ce commando virtuel a été expérimenté récemment chez Coface et Vinci Autoroutes, deux membres du Clusif.

Connaître ses actifs essentiels

Face à la multiplicité actuelle des offres cloud, le Clusif a fourni un travail d’identification
et de cartographie des prestataires. Le club de la sécurité de l’information français peut
ainsi évaluer la sécurité des données confidentielles susceptibles d’y séjourner : « Avant
de migrer vers le cloud, il y a un premier projet à mener qui consiste à bien connaître ses
actifs essentiels et à sensibiliser les utilisateurs. Ensuite, les aspects juridiques et
contractuels contribuent à préciser l’offre cloud et les modules de sécurité, les briques de
chiffrement ou de contrôle d’accès à y ajouter », recommande-t-il.

Partenaire de la nouvelle méthode de référence pour le management des risques
numériques Ebios Risk Manager, le Clusif souligne l’importance d’identifier les scenarios
de risques dans un contexte ou leur criticité et leur probabilité guident les priorités des
équipes IT. « Atteindre un niveau de cyber-sécurité de 100% dans l’entreprise et dans le
cloud, c’est impossible. Il s’agit de voir quels sont les actifs essentiels à protéger et là où il
faut mettre des moyens et des mesures de sécurité. »
Henri Codron confirme que les automatismes et l’IA sont de plus en plus présents dans les
solutions de sécurité d’entreprise. « L’intensification de la menace exige sa détection au
plus tôt. Cela amène les entreprises à s’équiper de SOC qui accueillent davantage de
solutions d’IA pour aider à détecter les vulnérabilité. Lorsque l’organisation migre vers le
cloud, une nouvelle stratégie de protection des données confidentielles doit être adoptée :
la dimension juridique devient plus importante avec les contrats de services des
prestataires et hébergeurs. De plus, la classification des données devient un élément
essentiel de la protection et le contrôle d’accès doit être repensé également ; il s’agit de
trouver des outils conviviaux pour les utilisateurs. Les solutions de sécurité ne doivent pas
dégrader l’expérience utilisateur », recommande-t-il.

 

Auteur : Olivier Bouzereau