Lucca valide sa stratégie cyber avec un bug bounty

L’éditeur de solutions RH et finances a eu recours aux services des hackers de la plateforme YesWeHack pour poser la dernière pierre à l’édifice de sa stratégie de cybersécurité. Un investissement rentable et surtout un message rassurant envoyé à ses clients soucieux de la protection des données de leurs collaborateurs.

Il ne faut pas mettre la charrue avant les bœufs. Bruno Catteau, le DSI de Lucca, prévient ainsi ceux de ses confrères qui seraient tentés par l’aventure du bug bounty pour valider la résistance de leurs solutions. « Nous n’avons eu recours aux services de YesWeHack qu’à l’issue d’un processus de renforcement de la sécurité de nos solutions. Le bug bounty, c’est le sommet de la pyramide, pas sa base. »

Créé au début des années 2000, Lucca a d’abord proposé ses logiciels en mode on-premise, ce qui laissait de fait ses clients responsables de la protection des données qu’ils manipulaient. Le développement d’une offre en mode SaaS a changé la donne. « En tant qu’hébergeur de données, nous sommes désormais en première ligne ». Le cloud provider retenu par l’éditeur est certes tenu de sécuriser les accès à ses machines virtuelles ou à son gestionnaire de ressources, mais c’est bien Lucca qui doit éviter les intrusions qui passeraient par ses applications web.

L’éditeur responsable des données en mode SaaS

L’éditeur va alors faire monter en puissance une équipe cyber. Quelques années plus tard, l’obtention de la certification ISO 27001 vient couronner cette première étape. Celle-ci repose sur une analyse globale des risques à traiter et une liste de réponses à leur apporter.

Parmi celles-ci, Bruno Catteau et son collaborateur en charge de la sécurité informatique choisissent rapidement de mettre en œuvre des pentests. « Certains étaient commandés par des clients, d’autres auto-gérés, se souvient-il. L’avantage c’est qu’on peut aller crescendo avec ces outils, par exemple en utilisant des robots pour systématiser la démarche. À chaque problème détecté, on corrige et on recommence. »

Le niveau de sécurité monte alors progressivement puisque, comme le rappelle le DSI, « les hackers rentrent par le point le plus facile à attaquer, comme dans une maison où ils vont essayer la fenêtre si la porte est blindée. »
L’exercice se poursuit avec un épisode plus long, mené sur trois semaines par un spécialiste en chair et en os. De nouvelles failles apparaissent. Mais avec le temps et la multiplication des campagnes, elles se raréfient. « Est arrivé le moment où nous ne trouvions plus rien. C’est là que nous avons fait appel au bug bounty. »

Des primes à verser en cas d’attaque réussie

C’était en 2023 et, une nouvelle fois, le DSI procède avec méthode. « Il faut bien comprendre le fonctionnement de ce service, sinon la facture peut vite s’envoler. Au début, on ne sait vraiment pas où on va et ce que les hackers vont trouver », prévient-il.

Le principe est désormais bien connu : les hackers regroupés au sein d’une plateforme communautaire – ici YesWeHack – sont rémunérés à la faille trouvée, avec une échelle de primes qui varient selon leur criticité, de 50 à 2000€ dans le cas de Lucca.

En amont, il est important de bien définir le périmètre d’action des hackers, en choisissant notamment les types d’attaques à tester. « Sinon, on risque d’être submergé par le nombre de failles trouvées et d’avoir des difficultés à les traiter rapidement. »
La bonne stratégie consiste ensuite à élargir ce périmètre en fonction de la capacité de traitement des failles remontées. 

Un exercice grisant ?

Bruno Catteau le reconnaît volontiers, l’exercice est un peu grisant pour des responsables de la cybersécurité, car il permet de mesurer la qualité de la stratégie mise en place.

Mais il faut garder la tête froide et s’organiser pour corriger rapidement les failles trouvées.

Il faut aussi les exclure du périmètre des attaques des autres hackers qui, de toutes façons, ne seront pas rémunérés puisqu’elles ont déjà fait l’objet d’une rétribution pour ceux qui les ont découvertes.

Sur ce point, l’apport de la plateforme, qui encaisse tout de même la moitié des primes, est essentielle selon le responsable de Lucca. « YesWeHack se charge notamment d’arbitrer lorsque plusieurs hackers arrivent en même temps ou presque sur le même problème. La plateforme dispose de la chronologie des opérations et peut donc désigner le bénéficiaire de la prime sans que nous ayons à intervenir. »

Un autre apport essentiel de YesWeHack concerne les explications des modalités de l’attaque. « Ils agissent en intermédiaires dans le dialogue qui s’instaure avec le hacker. Ils peuvent fournir des rapports, des captures d’écran…»

Mais Lucca garde un droit de réponse lui permettant de contester éventuellement l’intérêt de la découverte ou sa nouveauté. Un forum est ainsi disponible pour échanger plus directement avec la communauté de hackers.

Lorsque, finalement, une attaque est validée, la correction doit se déclencher rapidement et aboutir en moins de 48h pour les failles critiques, selon les bonnes pratiques de l’ISO 27001. Cela impose aux équipes produits de s’organiser pour pouvoir les traiter de façon prioritaire.

150 failles détectées, dont deux critiques

En un an de bug bounty, 150 failles ont été révélées, dont deux critiques. Le montant total des primes versées a atteint 40 000€. Une somme que l’on peut qualifier de modique au vu de la sérénité apportée ? « Il n’y a pas de débats à ce sujet, répond Bruno Catteau. Pour un éditeur de solutions SaaS hébergeant des données aussi sensibles, une intrusion dans ses systèmes et le vol de ces dernières seraient une catastrophe. La mort, même ! Ce serait bien plus grave qu’une interruption de service.»

La confiance des clients est donc essentielle. C’est pourquoi le processus intègre non seulement la correction des failles trouvées, mais aussi l’analyse des logs récents. Ceux-ci constituent alors la preuve que la porte d’entrée ne laisse plus passer d’intrus. Par ailleurs, les pentests qui continuent de se dérouler, notamment à la demande de certains clients, voire de certains prospects, montrent des progrès sensibles et continus.

Aujourd’hui, les 140 collaborateurs de la DSI sont totalement impliqués dans la recherche de la sécurité maximale, grâce notamment à la mise en place d’une méthode DevSecOps depuis plusieurs années. « C’est vrai que nous voyons un peu le risque partout et dès les développements. Mais en matière de sécurité, c’est bien connu, il vaut mieux être parano », conclut Bruno Catteau.

---

Le projet en chiffres

1 an de Bug Bounty
150 failles trouvées dont deux critiques
40K€ de budget (primes aux hackers découvreurs de faille)

---

L’entreprise Lucca

Activité : Édition de logiciels
Effectif : 630 collaborateurs
CA       : 42,5 M€ (2023)

---

À LIRE AUSSI :

Secu

Les entreprises se convertissent au Bug Bounty et aux hackers éthiques

Laurent Delattre

11 Fév

À LIRE AUSSI :

Secu

La sécurité des collectivités en mode bug bounty

François Jeanne

27 Juin