Assurer la sécurité informatique en misant sur le secret n’est pas la bonne démarche, il faut passer à la transparence, selon HackerOne, société spécialisée dans la chasse aux failles informatiques dans les systèmes d’information des entreprises. Ce que l’on appelle le ‘Bug Bounty’, assuré par des hackers bienveillants, éthiques.
Une culture de la sécurité par l’obscurité
En France, plus de la moitié (57 %) des organisations maintiennent une culture de la sécurité par l’obscurité, selon l’enquête menée par HackerOne. L’étude a été réalisée auprès de 800 responsables sécurité à travers le monde.
L’approche par l’obscurité est héritée d’une époque où les systèmes étaient moins connectés et moins accessibles, considère le prestataire.
Tiktok, Wix, Starling Bank et Gitlab, volontaires pour plus de transparence sur leurs vulnérabilités informatiques
« Notre ambition est d’instiller la transparence à tous les niveaux, depuis la modération du contenu jusqu’à notre programme de bug bounty [NDLR : chasse aux failles de sécurité via des hackers éthiques] » réagit Roland Cloutier, responsable mondial de la sécurité chez le média social TikTok (Global Chief Security Officer) depuis avril 2020, et anciennement Vice Président d’ADP, plateforme de gestion de la paie et des Ressources Humaines.
Divulguer les vulnérabilités potentielles pour les combler rapidement
« Avec Tiktok, nous voulons créer une plateforme sûre. Pour garder une longueur d’avance sur l’évolution des menaces, il faut collaborer avec les meilleurs experts, en les invitant à identifier et à divulguer les vulnérabilités potentielles afin que nous puissions les combler rapidement » demande-t-il. « GitLab pratique la transparence par défaut. Elle rend nos logiciels plus sûrs et nous permet de mieux collaborer et d’innover » déclare pour sa part Johnathan Hunt, vice-président sécurité au sein de GitLab.
« La sécurité ne peut pas être réalisée en isolement. Il faut un espace pour dévoiler les vulnérabilités découvertes«
L’étude menée par HackerOne montre par ailleurs que les 2 tiers des entreprises françaises (64 %) préfèrent accepter leurs vulnérabilités logicielles plutôt que de travailler avec des hackers. La moitié des entreprises (52%) révèlent avoir perdu des clients à la suite d’une violation de la sécurité. Et 43 % des organisations françaises avouent ne pas être ouvertes sur leurs pratiques de cybersécurité. En outre, 56% des responsables sécurité en France admettent qu’ils entendent au sein de leur organisation le message selon lequel la sécurité ne ferait que ralentir l’innovation.
Etre responsable des meilleures pratiques
La démarche proposée consiste à encourager la transparence pour instaurer la confiance et partager des enseignements ; favoriser la collaboration afin de donner à chacun les outils nécessaires pour réduire les risques cyber ; inciter à développer des solutions qui intègrent nativement une dimension sécurité ; se tenir, au même titre que son écosystème de fournisseurs, responsables du respect des meilleures pratiques.
HackerOne compte parmi ses clients la Commission Européenne, le Ministère américain de la Défense, Booking.com, Deliveroo, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Slack, Starbucks, Twitter et Verizon Media.