La sacro-sainte « omerta à la française », qui continue de beaucoup caractériser les entreprises françaises en matière de cybersécurité, a la vie dure. Plus de la moitié des RSSI préfèrent vivre avec leurs vulnérabilités que de faire appel aux hackers éthiques pour les dénicher et les combler.

Selon une nouvelle étude HarckerOne menée auprès de 600 RSSI en France, en Allemagne et au Royaume, 51% des RSSI français préfèrent courir le risque de vivre au quotidien avec les failles et vulnérabilités potentielles de leurs systèmes que de faire appel à des hackers éthiques externes et inconnus pour les repérer et leur donner les moyens de les combler.

Hugues Masselin, consultant en bug bounty au sein de HackerOne reconnaît qu’il peut sembler assez « normal de constater certaines réticences ; la sécurité offensive est encore un marché émergent en Europe et certains mythes subsistent ». Néanmoins, les chiffres de cette étude démontrent tout le manque de modernité et de sensibilisation des RSSI français mais aussi européens. Car nos RSSI nationaux ne sont pas les plus frileux ni les plus réactionnaires. 59% des RSSI allemands et 62% de leurs collègues du Royaume-Uni ont exactement la même préférence.

Une conscience des risques…

Pourtant, les RSSI ont bien conscience (87% des répondants français, 86% en moyenne en Europe) que l’innovation technologique au sein de leur entreprise est entravée par la crainte d’un problème de sécurité. Ils sont 88% en France à considérer les vulnérabilités logicielles comme une menace importante.

De même, ils ne sous-estiment pas le temps passer par leur entreprise à gérer les problèmes de sécurité dans les codes de leurs applications métiers et de leurs services aux clients : 46% des RSSI français (48% des Européens) déclarent que leurs équipes passent trop de temps à chasser et corriger les failles. Et 68% des RSSI français avouent également que leur équipe n’est pas suffisamment dimensionnée pour suivre le rythme des développements dans l’entreprise (contre 63% au Royaume-Uni et 60% en Allemagne).

Parallèlement, les RSSI français semblent plus optimistes que leurs collègues européens quant à leur capacité à traquer les failles : ils ne sont que 30% à admettre que leurs tests d’intrusion ne fournissent pas de résultats suffisants contrairement aux 65% de RSSI britanniques et 39% de RSSI allemands apparemment plus réalistes. 21% pensent même que leurs pentests suffisent amplement (contre 11% chez les Britanniques et 4% en Allemagne).

… mais une méfiance encore très ancrée 

Si l’appel au Bug Bounty et aux communautés de hackers éthiques est devenu une évidence chez certains grands acteurs américains notamment, seuls 23% des RSSI français se sentent aujourd’hui prêts à accepter les soumissions de bugs d’une communauté de hackers. Un chiffre qui remonte à 40% lorsqu’il s’agit de collaborer uniquement avec des hackers certifiés, identifiés et choisis par l’entreprise.

En revanche, le repenti est mieux perçu chez les Français : 44% de nos RSSI ne sont pas à l’aise à l’idée de collaborer avec des hackers ayant un passé cybercriminel contre 55% en Allemagne et 62% au Royaume-Uni.

Toutefois, si 51% des répondants français préfèrent vivre avec leurs vulnérabilités plutôt que d’inviter des hackers inconnus à les trouver, cette position peu rassurante s’explique également par des problèmes budgétaires et non uniquement une position éthique ou une sensibilisation. L’étude montre en effet que le manque de budget empêche 17% des RSSI français (contre 22% au Royaume-Uni et 32% en Allemagne, la France apparaît donc là encore comme un meilleur élève) de mener à bien un programme de sécurité offensive. 30% des RSSI français se sentent globalement freinés par un manque de budget et de compétences internes pour avancer (ils sont 34% au Royaume-Uni et 40% en Allemagne).

Pour Hughes Masselin, l’étude démontre qu’ « il est primordial de poursuivre l’évangélisation et de démontrer les bénéfices du hacking éthique. Ne pas chercher à trouver des vulnérabilités dans ses systèmes de manière proactive revient à appliquer la politique de l’autruche. Avec ce genre d’attitude, une vulnérabilité peut rester exploitée longtemps, à l’insu de l’organisation, et faire de nombreux dégâts ».