Pour aller plus loin dans la recherche d’éventuelles vulnérabilités de ses systèmes, le spécialiste français du cloud souverain a fait appel à la communauté de « hackers » de YesWeHack. Une démarche très rentable qui est désormais pratiquée en continu.

Par Marie Varandat

Le concept de bug bounty est né au milieu des années 1990 chez Netscape. Responsable du support technique, Jarrett Ridlinghafer eu alors l’idée d’exploiter l’enthousiasme débordant d’adeptes du navigateur de la société qui identifiaient des bugs de leur côté et proposaient des corrections pour « institutionaliser » la démarche. Depuis, le bug bounty est devenu une pratique couramment utilisée par les grands acteurs du marché de l’informatique pour optimiser la sécurité de leurs produits. Reprise par les entreprises, cette pratique a donné naissance à des prestataires spécialisés qui fédèrent des chasseurs de failles autour de programmes privés ou publics.

Dépasser les limites du pentest

Edouard Camoin, RSSI 3DS OUTSCALE

La France compte un de ces grands spécialistes du bug bounty : YesWeHack. Leader européen, il compte quelque 15 000 « hackers » qui participent régulièrement à des programmes. Et c’est tant mieux car quand Outscale a cherché à mettre en place un programme de bug bounty, il lui fallait un acteur franco-français compte tenu de son positionnement sur le marché du cloud souverain. « Nous pratiquions déjà des pentests (ndlr : tests de pénétration) régulièrement, explique Edouard Camoin, Chief Information security Officer (CISO) chez Outscale. Mais nous arrivions aux limites de l’exercice. L’inconvénient des pentests est qu’ils sont pratiqués sur une durée limitée et pour un investissement de 25 000 à 30 000 euros, nous avions finalement peu de remontées de vulnérabilités. Nous avons alors envisagé d’autres types de prestations. Le bug bounty commençait à faire parler de lui aux États-Unis et nous étions intéressés, mais il nous fallait un acteur qui nous garantisse que quoi qu’il puisse se passer, les informations resteraient sur le territoire français. C’était le cas de YesWeHack qui possédait déjà à l’époque une communauté de chasseurs significative, autre point important, l’efficacité du bug bounty étant directement liée à la richesse de la communauté ».

Prudent, Outscale commence par un programme de bug bounty privé en 2015. « On était assez frileux à l’idée que n’importe qui puisse venir tester nos services et découvre des vulnérabilités qui potentiellement pouvaient avoir un impact, se souvient Edouard Camoin. On a donc sciemment limité le nombre de chasseurs à une quinzaine triés sur le volet et délimité le terrain de jeu à un périmètre restrictif ». Menée sur cinq mois, l’expérience s’est avérée concluante avec l’identification de quelques brèches à la clef. Rassurée, la société décide de passer sur des programmes publics, toujours orchestrés par YesWeHack.

Une pratique très rentable

« C’est tout l’intérêt de travailler avec une communauté maîtrisée, plutôt que d’avoir des hackers dans la nature qui testent sauvagement nos services sans qu’on en ait connaissance, précise le CISO d’Outscale. Pour chaque vulnérabilité identifiée, nous recevons un rapport détaillé qui est ensuite traité par nos équipes. Nous commençons par reproduire l’incident chez nous sur nos plateformes de tests pour vérifier que la vulnérabilité est bien réelle. Si tel est le cas, nous la corrigeons bien évidemment et rémunérons le chasseur qui l’a trouvée en fonction d’un score ».

Outscale s’appuie sur le système d’évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables CVSS (Common Vulnerability Scoring System) pour établir sa grille de rémunération des chasseurs avec une fourchette allant de 80 à 5 000 euros pour les plus grosses failles.

Côté rentabilité, Edouard Camoin n’hésite pas une seconde : « Nous payons un abonnement fixe à l’année à YesWeHack en plus des rémunérations des chasseurs et malgré tout, c’est réellement très rentable pour la simple raison qu’en dehors de nos programmes de bug bounty, nous n’avons jamais eu de remontée d’une vulnérabilité d’un score de 7 ou 8, autrement dit importante. Ils trouvent ce que nous n’avons pas toujours le temps de chercher d’autant que la variété des profils des chasseurs favorisent une couverture beaucoup plus complète. Sans compter que la « chasse » n’est pas limitée dans le temps : certains chasseurs mettent parfois six mois et plus à trouver une faille. Au taux journalier moyen, c’est dont beaucoup plus rentable qu’un pentest qui ne remonte souvent pas grand-chose en termes d’informations exploitables ».

Bien choisir son prestataire

Avec le recul, Edouard Camoin se félicite d’avoir mis en place cette pratique avec un prestataire qui remplissait non seulement ses conditions de souveraineté, mais qui offre aussi un climat de travail rassurant. « Il existait d’autres prestataires français quand nous avons pris le virage bug bounty, explique-t-il, et finalement notre choix s’est moins fait sur des critères techniques que sur le cadre juridique. Les conditions de YesWeHack étaient les plus claires et les plus transparentes sur la séparation des responsabilités de chacun. Ils ont tout prévu pour protéger toutes les parties prenantes et ainsi instaurer un climat de confiance afin de pouvoir travailler sereinement ».