Ethical Hacking : programmes pour les petites entreprises et les communautés
Bug Bounty Switzerland et la Haute école zurichoise des sciences appliquées (ZHAW) ont lancé un projet de recherche commun dans le but de rendre les programmes d'Ethical Hacking accessibles aux PME et aux communes. Une étude préliminaire déjà en cours est soutenue par Innosuisse.
Comment les petites organisations disposant de peu de ressources et de savoir-faire informatique peuvent-elles accéder facilement aux programmes Bug Bounty afin d'améliorer efficacement leur sécurité informatique ? C'est l'objectif d'une étude lancée par Bug Bounty Switzerland en collaboration avec la Haute école zurichoise des sciences appliquées (ZHAW) et soutenue par le programme suisse de promotion de l'innovation Innosuisse. Dans le cadre d'un avant-projet qui vient d'être lancé, le groupe cible des PME et des communes sera d'abord examiné afin de comprendre quels sont les besoins spécifiques de ces organisations, quels sont les obstacles à l'Ethical Hacking et comment une offre adaptée devrait être conçue.
Ethical Hacking : le concept de bug bounty
Le concept de Bug Bounty, c'est-à-dire la recherche de failles dans les infrastructures informatiques par des hackers éthiques qui sont récompensés pour leurs trouvailles, est désormais bien établi en Suisse - notamment grâce au travail de pionnier de Bug Bounty Switzerland. Grâce à son offre de services globale (du conseil à l'assistance pour combler les failles de sécurité, en passant par la mise en place du programme et l'accompagnement du client) et à sa propre plateforme hébergée en Suisse, l'entreprise a réussi à rendre les programmes de Bug Bounty accessibles à davantage d'entreprises. Néanmoins, ce sont aujourd'hui surtout de grandes organisations comme l'hôpital universitaire de Zurich, Ringier, la banque Valiant, le groupe Baloise ou les FMB qui gèrent des programmes continus avec Ethical Hacking. Avec le projet de recherche commun avec la ZHAW, Bug Bounty Switzerland poursuit maintenant l'objectif de réduire encore la complexité de la méthode, afin que les petites organisations puissent également y avoir accès et être en mesure d'améliorer continuellement leur sécurité de l'information.
Compte tenu des ressources financières informatiques souvent limitées dans les petites organisations, l'étude préliminaire vise à déterminer quels modèles de financement alternatifs sont envisageables et quelles incitations non monétaires pourraient être proposées aux hackers éthiques. En outre, la question se pose de la mise à disposition du savoir-faire nécessaire pour traiter les points faibles identifiés. Il faut notamment impliquer les prestataires de services externes qui s'occupent de la gestion des systèmes informatiques en tant que fournisseurs d'externalisation. Enfin, les chercheurs s'intéressent également à l'utilité d'une communauté d'utilisateurs de bug bounty pour les échanges entre eux et avec les hackers éthiques.
Pas de numérisation sans sécurité informatique : "Digital Trust
La sécurité informatique est pertinente pour tous ceux qui misent sur des modèles commerciaux et des processus modernes dans le cadre de la numérisation. En effet, la transformation numérique ne peut réussir que si les utilisateurs et les clients ont confiance dans les processus et la sécurité de leurs données et que celles-ci restent exécutables. Dans ce contexte, on parle également de "confiance numérique". Cette confiance est toutefois menacée lorsque de nouvelles fuites de données apparaissent chaque semaine et que des failles de sécurité peuvent être exploitées. Aujourd'hui, même les PME et les communes sont de plus en plus souvent prises dans les filets des cybercriminels.
"Si nous voulons que la transformation numérique réussisse en Suisse dans son ensemble, nous ne devons pas négliger les PME - ni le secteur public - en matière de sécurité", fait remarquer Peter Heinrich, du service spécialisé dans la gestion des processus et la sécurité de l'information à la ZHAW School of Management and Law. Il ne suffit pas de mettre en évidence les lacunes en matière de sécurité : "Nous devons créer une véritable capacité d'action. Les organisations doivent avoir les moyens et le savoir-faire pour pouvoir évaluer correctement leur vulnérabilité et prendre des décisions judicieuses. Nous voulons donc déterminer où elles ont besoin d'aide pour s'aider elles-mêmes".
Un écosystème suisse pour gérer les vulnérabilités
Dans un projet de suivi, Bug Bounty Switzerland et la ZHAW veulent travailler au développement de la plateforme de Bug Bounty Switzerland pour en faire un écosystème suisse de gestion globale des vulnérabilités. Celui-ci doit relier tous les acteurs (outre les hackers éthiques, par exemple, les autorités et les fournisseurs) dans un processus continu de sécurité de l'information et être également accessible et abordable pour les PME, les micro-organisations et l'administration publique. "Nous vivons dans un monde en réseau. Nous devons maîtriser ensemble la protection de la place économique suisse sur le réseau mondial", explique Sandro Nafzger, CEO de Bug Bounty Switzerland. "En tant que pionnier suisse du Bug Bounty, nous voulons contribuer à la sécurité du pays et à la réussite de la transformation numérique : ensemble pour une Suisse sûre".
Source et informations complémentaires : www.bugbounty.ch
