TÉMOIGNAGE
Éditeur de logiciels SaaS en RH et finance depuis 2006, Lucca gère les données de 8 000 entreprises et les données personnelles de 1,2 million de collaborateurs. « Notre première confrontation avec la cybersécurité offensive nous a été imposée par nos clients il y a une quinzaine d’années déjà, raconte Bruno Catteau, DSI de Lucca. Ils nous ont demandé des pentests en mode boîte noire, grise et blanche. Depuis, nous sommes devenus acteurs de notre stratégie cyber offensive et nous faisons intervenir des acteurs du marché pour tester notre sécurité. Nous avons embauché un pentester interne qui s’assure au quotidien de la non-régression du code et que nos nouvelles applications sont bien au standard attendu. Nous avons une exigence de moyens, mais il est difficile de garantir une exigence de résultats car on ne peut être totalement sûrs qu’on n’a jamais été hacké. Dans ce cadre, le bug bounty vient augmenter les moyens mis en œuvre. » Des profils de hackers très différents « Avec YesWeHack et une communauté de bug bounty en général, on a accès à des approches différentes. Le bug bounty amène des profils de hackers très différents, chacun d’eux a ses techniques et ses spécialités, comme la gestion des droits sur les API, les failles dans les librairies open source, etc. Avant de nous lancer dans le bug bounty, nous avons fait un pentest de trois semaines, ce qui nous a permis d’aller beaucoup plus loin car il faut avoir un bon niveau de maturité et se mettre en capacité de répondre aux hackers avant de se lancer. Il faut partir sur un nombre d’applications et le nombre de hunter limité pour garantir une réactivité, car le hacker n’est rémunéré qu’en cas de succès. Pentesting et bug bounty vont cohabiter. Nous allons bien évidemment continuer à accepter les pentest demandés par nos clients, et nous continuons à en faire en interne. Nous allons embaucher un deuxième pentester car nous voulons détecter les failles avant les mises en production, c’est notre objectif. Nous allons intensifier les pentests longs, mais aussi continuer notre bug bounty pour la grande diversité des profils de hackers qu’il nous apporte. » n