ActualitéAffaires publiquesBusinessLes ExpertsTech

Les failles de sécurité sur Internet, ce nouveau marché en plein essor

Ce n’est plus un secret: «tous les sites web des grandes entreprises françaises contiennent des failles»

Selon un rapport publié ces derniers jours par le cabinet Wavestone, 100% des sites du Top 200 des grandes entreprises sont vulnérables. Qu’est-ce que cela veut dire? Pouvons-nous surfer en toute tranquillité? A priori, ce n’est pas la navigation qui pose problème. Vous ne serez pas contaminé par un malware à votre prochaine visite sur un site bien établi. Rassurez-vous! Le développement informatique étant une activité soumise aux aléas communs (et humains!)

  • les formulaires de dépôts de fichiers sont souvent la porte d’entrée facilitée pour les hackers malveillants en quête d’une infraction et d’un vol de données. Idem pour les modules de login et tout ce qui entoure la gestion des sessions des utilisateurs.  
  • la confiance accordée aux utilisateurs de son système d'information lors de la soumission de tous types de formulaire est souvent la porte d’entrée facilitée pour les hackers malveillants en quête d’une infraction (utilisation d'une ressource de l'entreprise) et/ou d’un vol de données. (données d'entreprise, données personnelles, …) 

 

Est-ce un mal insoluble? 

Les grandes entreprises françaises allouent des budgets de plus en plus conséquents à la protection de leurs données et de leurs systèmes. La menace est prise au sérieux. Cela exige bien souvent d’internaliser une équipe d’experts en Sécurité et de se doter d’un arsenal toujours plus large de défenses et d’outils de protection; les audits de sécurité étant l’une de ces méthodes pour repérer les failles de sécurité existantes.

Mais à quoi bon lutter contre des pirates/ cybercriminels qui n'ont de cesse de porter préjudice à vos systèmes d'information?

Il faut bien le reconnaître, les Nord-Américains sont une nouvelle fois en avance de phase de quelques années sur les Européens. Ils ont compris depuis longtemps qu’au lieu d’investir si lourdement dans la lutte contre la cybercriminalité, mieux valait récompenser les hackers éthiques pour l’aide qu’ils pourraient leur apporter dans cette quête permanente de sécurisation de leur système d'information. Cela a permis l’essor d’un tout nouveau marché où les bugs liés à la sécurité (vulnérabilités) deviennent l’objet de transactions financières qui ont toutes un prix de marché.

Une initiative intéressante de l’ANSSI

L’ANSSI est l’agence nationale de la sécurité des systèmes d’information, une agence gouvernementale dédiée à la surveillance des différentes cyber-attaques perpétrées sur le sol français. Elle vient d’annoncer sa volonté de faciliter le signalement des failles de sécurité, tout en garantissant la protection des hackers éthiques qui les divulgueraient. De quoi faire avancer la réflexion sur le rôle positif joué par la communauté des «White Hats». C’est l’annonce qui a été faite lors des récentes Assises SI qui se déroulaient à Monaco ces derniers jours. Un guide d’information explicatif devrait être diffusé auprès des «bug hunters» afin de leur fournir les règles à suivre et un cadre législatif.

L’émergence de plateformes de «Bug Bounty» en France

Il s’agit d’un phénomène très récent qui offre une alternative aux projets déjà existants aux Etats-Unis où quelques start-up ont levé plusieurs dizaines de millions de dollars pour assurer la sécurité des grandes entreprises américaines grâce à la communauté des «hackers» (ou experts en sécurité) bienveillants. En France, Orange fut par exemple la toute première société du CAC40 à se doter d’un programme dit de Bug Bounty. Elle a réalisé l’expérimentation sur la plateforme BountyFactory.io lors de la «Nuit du Hack» le 2 Juillet 2016, un évènement qui réunit chaque année à Disneyland Paris plus de 1800 experts. Ce fût une occasion de rassembler juristes et développeurs afin de suivre en temps réel les rapports de «Bug» émis par les chercheurs de vulnérabilités et autres participants de ce concours déployé à grande échelle.

Le phénomène prend donc de l'ampleur

Il faut dire que de tels programmes permettent de faire émerger des failles encore jamais découvertes, les plus critiques, grâce à la collaboration de centaines voire de milliers d’experts qui peuvent être répartis, grâce à la force d'Internet, dans le monde entier. La diversité des méthodologies d’analyse explique une telle efficacité. Là encore un parallèle assez fort avec les larges équipes de «Quants» qui ont envahi les milieux financiers pour développer de nouvelles méthodologies d’appréhension du risque.

Pour se protéger, mieux vaut avoir connaissance de ses «vulnérabilités» plutôt que de fermer les yeux en espérant qu’aucun indicent ne surviendra jamais. La digitalisation des tests d'intrusion est en cours et les entreprises françaises peuvent dès à présent en profiter, pour une meilleure protection. A horizon dix ans, c’est un marché estimé à plusieurs dizaines de milliards d’euros, rien que pour l’Europe! C’est dire l’ampleur de cette cyber-révolution en cours…

Le risque lié à cette financiarisation

Evidemment, prendre conscience du nombre de vulnérabilités de son périmètre n’est pas forcément une bonne nouvelle ni pour son budget, ni sur le fait qu’aujourd’hui la toile est devenue un enjeu où il ne suffit plus de coder, mais d’intégrer la sécurité dès la conception dans une logique de défense des données de ses utilisateurs. Le Big Data est devenu une tendance de fond mais encore faut-il pouvoir protéger correctement ces données. C’est le risque premier de la nouvelle économie numérique. Le coût des polices d’assurance «cyber-risque» a vu une augmentation de +200% de la part des principaux assureurs récemment du fait de l’explosion de la sinistralité constatée ces dernières années. Pour nos champions nationaux, cela devient un enjeu à prendre en considération au-delà même de l’impact financier.

Une course à la compétence est désormais engagée. Et le recrutement d’experts en interne n’est pas une chose aisée. Les meilleurs sont en effet bien mieux rémunérés sur les plateformes de Bug Bounty et conservent une flexibilité totale de leurs horaires. Bien difficile ensuite de les embaucher. L’émergence d’un marché «blanc» sur ces nouvelles plateformes de Crowdsecurity, par opposition au marché «noir» jusqu’à présent dissimulé sur le darknet et où les vulnérabilités se monnaient pour certaines plusieurs millions de dollars,  représente toutefois une opportunité pour les grands groupes tout comme les startups de nouer une nouvelle relation avec la communauté d’experts éthiques.

Les opportunités

Aujourd’hui, il n’y a plus besoin de dépenser 50 000 euros dans un audit de sécurité et d’attendre plusieurs semaines voire plusieurs mois pour obtenir un bilan réaliste de sa sécurité. En quelques clics pour s’inscrire et pour un budget pouvant démarrer à partir de quelques milliers d’euros, il est possible d’inviter sur son périmètre un premier pool d’experts identifiés et prêts à aider. Ce type de programmes plus restreints s’appelle un «Bug Bounty privé». Il est particulièrement adapté pour les startups et lors de la première phase de sécurisation de tout grand groupe où de très nombreuses failles seront remontées, puisque par définition le périmètre est souvent très large, donc très exposé. Cela permet de gérer la montée en charge et le bon traitement des patchs correctifs. Car le but est bien de bénéficier d’une liste de rapports de «bugs» en seulement 48 heures grâce à la «gamification» offerte par les plateformes à leurs membres, puis d’identifier les plus critiques afin d’aller jusqu’à leur correction en un temps raccourci et ainsi améliorer significativement sa sécurité. La toile nouvelle génération sera à la fois plus ouverte et plus sûre!

[tabs] [tab title= « A propos »]

yannick-robertYannick Robert est un serial entrepreneur français. Après un début de carrière orienté vers la banque et la finance (il a été trader pour Dresdner Kleinwort Wasserstein à Londres), Yannick Robert créé sa première entreprise, Parisdamis.com, en 2008. Dès 2010, il créé Mywittygames, une plateforme de crowdfunding. Il alterne expériences entrepreneuriales et salariées au sein de diverses sociétés financières. 

Il est aujourd'hui à la tête de 2Pi Capital, sa propre société de trading, ainsi que de Boursif.com, société spécialisée dans l'analyse des performances sur le marché Eurostoxx50. Il est également consultant. 

[/tab] [/tabs]

Lire aussi:

10 chiffres qui montrent que les entreprises ne protègent pas suffisamment leurs données
 

Tags
Microsoft Experiences les 3 et 4 octobre 2017

Les Experts

Les Experts sont des contributeurs indépendants de FrenchWeb.fr.

Sur le même sujet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Share This