StartupTECH

La sécurité informatique est, elle aussi, en voie d’Uberisation

Les hackers ne font nullement exception quand il s'agit de les classer de façon manichéenne en deux catégories distinctes: les gentils «whitehats» et les méchants «blackhats». Cette vision un poil simpliste masque une réalité complexe, structurée – entre autre – par des logiques économiques et géographiques qu'il convient de regarder en face si l'on veut l'impacter de façon positive. Certes, l'économie et la géographie ne sont pas, loin de là, les seuls facteurs à entrer en ligne de compte pour expliquer la situation, mais ces deux dimensions du problème devraient être incessamment disruptées par l'arrivée de l'économie collaborative dans la sécurité informatique.

Tentons de cerner en quoi un changement de paradigme économique pourrait renverser la vapeur qui a vu, l’an dernier, la cybercriminalité augmenter en France de 50% (en gardant à l'esprit qu'il s'agit là d'une mesure d'impact, et non d'un comptage de cybercriminels).

2016, l’année où les bug bounties débarquent en Europe

Les bug bounties sont apparus en 1995, imaginés par Netscape, l’une des premières start-up Internet à susciter l’émoi des investisseurs. Ces vingts dernières années, ils ont progressivement été adoptés par la plupart des leaders de la Silicon Valley (mais pas que) qui les organisent eux-mêmes. Mais ces dernièrs temps, grâce aux plateformes de bug bounty, cette approche de la cybersécurité est pratiquée aussi bien dans l'industrie automobile (Tesla, General Motors) que dans l'aéronautique (United Airlines) ou la finance (Western Union). Le nombre d’entreprises qui pratiquent le bug bounty dessine une courbe exponentielle, et c’est n’est que le début. Les plateformes de bug bounty, apparues en 2012 aux USA, permettent désormais à toute entreprise de pratiquer un bug bounty, et de profiter du concept flou d'économie collaborative pour renforcer sa sécurité informatique, en délégant tout ou partie de la gestion de son bug bounty à une plateforme.

Hier encore, cela se passait ainsi: une entreprise, pour détecter des failles de sécurité dans ses technologies, achetait des j/h de hackers à une SSII. Ces hackers-salariés réalisaient alors des tests d'intrusion destinés à identifier des failles (une «campagne de pentesting»), et au bout du temps imparti, ils dressaient un inventaire de leurs découvertes. Le bug bounty inverse cette logique : désormais, les entreprises peuvent acheter directement aux hackers indépendants les failles de sécurité que ces derniers pourraient trouver sur leurs technologies. Un principe en tout point similaire aux chasseurs de primes du Far-West auxquels faisait appel la justice au temps des Cowboys (qui se pratique encore aux USA de nos jours).

Le «service» auquel faisait appel une entreprise – le pentesting – devient un «produit» : les failles présentes sur ses technologies. On passe pour les vendeurs d’une obligation de moyens à une obligation de résultats.

A côté de cela, les entreprises disposent de tout un tas d’autres approches complémentaires pour se sécuriser, le bug bounty n’est que la dernière en date, qui vient s’ajouter à un arsenal déjà impressionnant. Mais, à en voir les chiffres inquiétants de la cybercriminalité, les solutions actuelles, largement automatisées, s’avèrent insuffisantes face à l’ingéniosité des attaquants et la  complexité croissante des technologies utilisées par les entreprises. La multitude de compétences apportées par la foule d’un bug bounty se montre alors bien plus efficace.

Les avantages ne s’arrêtent pas là pour les entreprises : en achetant des failles de sécurité plutôt que du temps d’expert pour les chercher, le ROI d’une telle dépense est bien plus évident. Par ailleurs, un bug bounty, par rapport à une campagne de «pentesting», est bien plus souple à gérer, n’impose pas de réunions chronophages, peut démarrer très rapidement, s’interrompre à tout moment ou être permanent, et se modifier en cours de route. Les avantages de la «gig economy» et du travail à la demande ne sont plus à démontrer, du moins pour ceux qui y font appel – c'est bien moins évident pour ceux qui y travaillent.

Coté consommateur ceci dit, la différence en termes d'efficacité et de service rendu n'est pas sans rappeler l'écart qui existe entre un trajet en taxi parisien et ce que propose Uber. Mais la comparaison s'arrête là, et c'est tant mieux.

Car si Uber s'adresse à une main d'œuvre fortement touchée par le chômage et qui était déjà dans la précarité, les Bug Bounties font appel à des ressources humaines qui ne sont pas vraiment concernées – du moins en France – par Pole Emploi. Le déséquilibre entre l'offre et la demande est dans ce secteur en faveur des employés. Une situation très particulière par les temps qui courent, due au déficit criant de compétences sur le marché en matière de sécurité informatique. Une situation somme toute normale ceci dit : la cybercriminalité augmente en ce moment de façon vertigineuse, alors que l’enseignement, lui, est bien plus lent à réagir et à former des talents aptes à nous en protéger. Une récente étude concluait à la création, en 2016, de plus d'un million d'emplois dans la cybersécurité à travers le monde… dont beaucoup ne trouveront vraisemblablement pas de candidat. C'est là que le facteur géographique entre en scène.

Une mondialisation heureuse ?

La France n'est pas le seul pays où l’on trouve un décalage important entre l'offre et la demande en matière de compétences en cybersécurité, loin de là. Certains pays connaissent un problème inverse : bien plus de compétences que d'emplois. C'est le cas de la Tunisie, par exemple, où l'éducation supérieure, notamment en matière d'informatique, est largement surdimensionnée par rapport à ce que le pays est susceptible d'offrir comme débouchés professionnels.

Pour ces compétences là, comme pour beaucoup d'autres, les études mènent au chômage ou, au mieux, à des emplois sous qualifiés et peu motivants, ainsi qu'à une frustration qui fait le lit de la cybercriminalité, avec ses promesse en matière de revenus et de challenges techniques passionnants.

L'immigration «choisie» – outre le fait que ce n'est plus une solution à la mode – n'est pas vraiment une réponse valable, dans la mesure où les hackers ont ceci de particulier par rapport aux développeurs qu'ils peuvent être très compétents et peu, voir pas diplômés, ce qui rend leur détection et leur recrutement particulièrement difficile.

La désintermédiation, à travers ces plateformes de bug bounty, abolit les frontières et permet non seulement de résoudre le besoin en compétences de pays comme la France – qui manque cruellement de ressources humaines -, tout en générant des revenus dans d'autres pays, offrant ainsi une alternative aux sirènes de la cybercriminalité, et la faisant ainsi mécaniquement baisser. Tout le monde y gagne.

Une balkanisation qui va structurer le marché du bug bounty

Autre différence notable avec le raz de marée actuel de Uber, le paradigme commun du “winner takes it all” risque fort de se heurter au mur de la législation. Si les données que manipule Uber peuvent transiter un peu partout, et être au mieux contingentées par des lois qui leur imposeraient d’être stockées en Europe, il en va tout autrement des données manipulées par une plateforme de bug bounties.

Américaine, russe, chinoise et désormais européenne, mais avant tout française, le concept de souveraineté numérique se répand un peu partout comme une trainée de poudre, et masque en réalité l’une des grandes défaites des partisans d’un internet libre et ouvert. La (triste) réalité est que l’Internet est en voie de balkanisation, et que les données très sensibles récoltées par les plateformes de bug bounty sont, et seront plus encore demain, contingentées par une multitude de lois, ainsi que par tout un tas de contraintes propres à chaque entreprise. La souveraineté d’un acteur comme Meetic, par exemple, n’est pas du tout la même que celle d’Airbus, qui s’est récemment fait dérober des données par les services de renseignement Allemands pour le compte de la NSA. Ces deux entreprises sont et seront par ailleurs contraintes par des lois qui façonneront leurs choix d'infrastructure informatique et leurs stratégies en matière de cybersécurité.

Au fur et à mesure que les Balkans se concrétisent dans le cyber, la souveraineté, qui va avec, se granularise.

Si certaines entreprises se contenteront d’appliquer diverses lois ou accords commerciaux (comme le désormais moribond «Safe Harbor», censé dessiner un territoire au sein duquel on pouvait faire circuler de la donnée privée, et qui a été littéralement condamné par Edward Snowden et ses révélations), d’autres entreprises seront plus sourcilleuses, et fuiront comme la peste tout prestataire soumis au Patriot Act, ne pouvant pas se permettre de voir leurs failles de sécurité atterrir chez la NSA. Ajoutez à cela que l’une des plus prestigieuse plateforme de bug bounty américaine a été fondée par deux anciens de la NSA, et que c’est loin d’être un cas unique de porosité entre le monde des plateformes de bug bounty et un service de renseignement ou une amée, et vous comprendrez que contrairement à Amazon, les américains (mais pas que) vont avoir un mal fou à s’implanter sur une autre continent que le leur (en fait, à s’implanter ailleurs qu’en Amérique du Nord, parce que l’accueil en Amérique du Sud risque d’être glacial).

Tout cela laisse le champ libre à des acteurs non américains, et les candidats commencent à arriver. Récemment, on a ainsi vu débarquer deux acteurs français. Bountyfactory a été lancé en beta publique la semaine dernière, et affirme un positionnement Européen et un respect des accords de Wassenaar, qui régulent (entre autre) le commerce de failles de sécurité, celles-ci pouvant parfaitement s’apparenter à du cyber armement offensif. Yogosha, lancé à la fin de l’année dernière, est lui toujours dans une phase de beta privée. Comme il est français lui aussi, on peut imaginer qu’il table également sur la balkanisation de l’Internet pour conquérir sa part d’un marché promis à une croissance exponentielle (full disclosure : je suis associé dans Yogosha). D’autres ne devraient pas tarder à arriver, car le marché s’annonce énorme et plutot fragmenté – potentiellement, ce sont une large partie des entreprises qui pourraient, demain, faire appel au bug bounty pour se sécuriser.

On ne devrait pas tarder à voir apparaitre d’autres acteurs dans les Balkans que sont devenus les internets : des startups russes, chinoises, ainsi, probablement, que dans le monde arabe, où la balkanisation est particulièrement avancée. Peu de chance d’arriver un jour sur un marché où un acteur domine tout, à la façon d’Uber ou d’Amazon, à moins qu’un «growth hacker» hack les cyber-balkans (pun intended), ou mettent en place un lobbying d’une puissance telle qu’il inverse le cours de l’Histoire. On peut rêver (après tout, c’est aussi le rôle des startups).

L'économie des blackhats à l'intention des whitehats

Le moteur de l'économie des blackhats est la découverte de failles et leur exploitation, avec comme corollaire le fait de garder ces failles en place le plus longtemps possible. Pour cela, cette économie souterraine dispose d'un pool de talents vaste et varié, de moyens et de temps. Leur revenus est directement dépendant des résultats liés à la découverte et à l'exploitation de ces failles de sécurité, le plus souvent en revendant des données dérobées sur le marché noir, en attaquant directement les entreprises, en les rançonnant, ou en les espionnant – voir en les sabotant – pour le compte de concurrents. Les gains sont proportionnels aux talents et à l'ingéniosité (ainsi qu’à la chance) des acteurs de cette économie mafieuse très particulière.

Le moteur de l'économie des whitehats, lui, est la découverte de failles et leur correction. Pour cela, cette économie dispose d'un pool de talent limité – on met rarement plus de quelques experts sur une campagne de “pentesting” consistant à chercher ces failles. La rémunération se fait au temps passé, le talent et l'ingéniosité n'ont pas ici un rôle aussi prépondérant que chez les blackhats, car à l'ingéniosité humaine, les whitehats travaillant dans les SSII qui proposent leurs services doivent ajouter un talent relativement rare dans ces communautés : le fait de vivre et de s'épanouir dans un environnement corporate.

Les bugs bounties créent une nouvelle logique économique pour les whitehats, où le talent et l'ingéniosité sont prépondérants, et où la rémunération est directement liée à celle-ci, mettant en œuvre une motivation individuelle et des dynamiques de foule qui étaient jusqu'ici l'apanage de l'économie des blackhats, et qui, ne nous cachons pas, sont des moteurs puissants.

Là encore, la disruption introduite par l'économie collaborative semble faire pencher les choses du bon coté, celui d'un internet plus sécure, et d'une perspective où l'explosion actuelle de la cybercriminalité stoppe avant qu'elle ne représente un réelle danger pour l'économie (certains calculs vont jusqu'à estimer les pertes liées à la cybercriminalité dans les pays occidentaux à près d’un point de PIB).

Demain, ce sera bien?

L'impact de la logique de l'économie collaborative sera-t-il pour autant bénéfique aux hackers? Tout laisse à penser que oui. Avant tout, précisons que la détection de failles de sécurité ne représente qu'une partie du marché de l'emploi de la sécurité informatique ainsi disrupté. Si d'aventure l'offre traditionnelle de pentesting venait à être affectée de façon significative par l'arrivée de l'économie collaborative, les entreprises du secteur et leurs employés trouveraient sans le moindre problème de nouveaux marchés, avec des offres qui nécessitent, elles, une plus grande proximité géographique avec leurs clients. C'est le marché global de la sécurité informatique qui explose en ce moment, et, balkanisation aidant, il s’annonce presque infini, ce qui n’est pas le cas de celui des taxis (ou pas).

Cette activité qui consiste à détecter les failles de sécurité, et qu'adresse cette économie collaborative du bug bounty, ne concerne pour l'instant que les grandes entreprises ainsi que celles du secteur des technologies. Cela va évoluer rapidement, car cette activité est la base de tout un tas d'autres qui suivent, en particulier la correction des failles ainsi découvertes ou, en amont, la sécurisation de technologies avant leur mise en production. Mais surtout parce que toutes les entreprises sont aujourd'hui concernées par la détection de failles de sécurité, et que les dégâts infligées par la cybercriminalité sont tels que toutes s'y mettront tôt ou tard (ou disparaitront, par simple effet Darwinien). Rares en effet sont les entreprises de nos jours qui ne reposent pas sur des technologies, et dont les sous traitants ou les partenaires ne sont pas dans le même cas. On pouvait, hier encore, classer les entreprises technologiques dans une catégorie à part, c'est beaucoup moins évident aujourd'hui tant la technologie est devenue ubiquitaire, au cœur comme en périphérie de la création de valeur de toute entreprise.

Chez les hackers, dans l’emploi salarié, le manque critique de talents devrait voir les rémunérations du secteur grimper dans les années à venir, c'est la logique de l'offre et la demande – endiguée, ceci dit, par une logique bien française d'un salaire surdéterminé par un diplôme, qui n'a pas de sens dans ce secteur. Les hackers qui s'orienteront vers l'économie collaborative devraient également profiter grandement de ce décalage entre l'offre et la demande, pondéré à terme par le fait qu’il n’existe pas de frontières dans ce monde là. Il devraient également profiter du fait que ces plateformes d'intermédiation ne prélèvent qu'un part minime des revenus qui y transitent, là où l'ancienne économie encadrait leurs prestations d'une gestion administrative et commerciale fort lourde, devenue inutile, qui représente jusqu'au trois quart de la facturation client.

En termes de stabilité et de sécurité de l'emploi, par contre, il en va comme avec l'ensemble de la «gig economy» (le travail à la demande), à une différence près : si la plupart des gens valorisent stabilité et revenus réguliers au point d'y sacrifier la maitrise de leur temps, la structuration de leur mode de vie, voir la mise en sommeil de certaines passions trop incompatibles avec ce cadre imposé, le monde des hackers a tendance, lui, à survaloriser tout ce qui touche aux libertés individuelles. Du coup, de nombreux hackers pourraient trouver ce type de compromis tout à fait intéressant.

Enfin, si la conscience politique est relativement faible du coté des travailleurs de l'économie collaborative, ce n'est pas le cas chez les hackers. S'il aura fallu des années pour voir apparaitre ce qui peut s'apparenter à des syndicats sur des plateformes comme Amazon Mechanical Turk, il y a peu de chance qu'il en soit ainsi au sein de la communauté hacker. Ils sauront très bien s'organiser pour mettre en place ce qui pourrait s'apparenter à un dialogue social, et faire en sorte que ces plateformes leur soient profitable. Par ailleurs, la Balkanisation de l’Internet, qui devrait avoir pour conséquence la démultiplication des plateformes, bloquera l’arrivée d’un acteur global à la Amazon, ce qui, là aussi, profitera aux hackers, qui pourront facilement faire jouer la concurrence entre plateformes.

Et si pour une fois, tout le monde y gagnait?

Tout cela peut paraitre très optimiste, et parfaitement contradictoire avec ce qu'à montré jusqu'ici l'économie collaborative, qui ne semble profiter qu'aux consommateurs et à quelques startups, tout en détruisant l'ancienne économie et en installant une précarité peu compatible avec l'approche française du travail.

La raison est à la fois simple et multiple. Jusqu'ici, l'économie collaborative n'avait pas encore disrupté un secteur d'activité en croissance exponentielle – il ne s'agit pas tant ici pour l'économie collaborative de prendre des parts de marché, que de prendre sa place dans une marché dont l’avenir est radieux. Les «travailleurs», de leur coté, ont toutes les chances d'y gagner, la réintermédiation permettant au consommateur (les entreprises) de faire des économies substantielles, tout en laissant de réelles perspectives de revenus conséquents du coté des travailleurs. La précarité, enfin, est contrebalancée par une liberté qui est, dans ce milieu, bien plus valorisée qu’ailleurs.

Reste à voir les dynamiques communautaires qui vont se mettre en place autour de ces plateformes appelées à fournir du travail et des revenus aux communautés hackers. C’est probablement l’un des éléments qui fera la différence entre les multiples startups qui se lancent sur ce secteur, en France comme ailleurs.

fabrice-epelboinFabrice Epelboin est serial entrepreneur dans le numérique, il enseigne l’impact des technologies de l’information sur les gouvernances institutionnelles et corporate à Sciences Po. Paris et conseille de grands groupes quant à leur transformation digitale.

LinkedIn: epelboin

Twitter: @epelboin

Crédit photo: Fotolia, banque d'images, vecteurs et videos libres de droits

Découvrez WE, le nouveau media d'intelligence économique consacré à l'innovation en europe. Retrouvez les informations de plus de 4500 startups et 600 fonds d'investissements Pour en savoir plus, cliquez ici

2 commentaires

  1. Très bonne analyse sur les bug bounty et la structuration globale du marché. Mais il reste 2 limites qui font que le bug bounty ne remplacera pas tout :
    1/ beaucoup de systèmes sont « internes » et donc non accessibles par les chercheurs externes. On pourrait aussi imaginé un mécanisme d’autorisation d’accès pour une communauté spécifique, mais là ca devient quasi aussi compliqué qu’un audit.
    2/ le bug bounty est postérieur au lancement d’un service. Donc si l’on veut limiter les risques au lancement ce n’est pas suffisant. Certes on pourrait imaginer un bug-bounty sur version beta et sans données de prod mais c’est rare.

    En fait l’Uberisation du test d’intrusion existe déjà quasiment avec les « TIA », les fameux « tests d’intrusion automatisé », qui font tournés des outils et ou un malheureux « pen tester » doit revoir le rapport pour voir s’il y a des faux positifs.

    Ces deux mécanismes (bug bounty/TIA) peuvent avoir un biais (certes existant aussi avec les audits mais moins probables), c’est de donner un faux sentiment de sécurité. « Mon système est fiable, j’ai fait un audit ! », oui un audit ultra banal sans intellignence… C’est mieux que rien mais certainement pas une garantie contre un cybercriminel humain. « Mon système est fiable, aucun chercheur n’a trouvé de faille », oui peut-être mais combien ont cherché et quel est leur niveau de compétence ?

    Alors, oui un « bon » audit de sécurité (par exemple ceux sous qualification PASSI qui vérifie le niveau de compétences des auditeurs, le processus de réalisation de l’audit et la sécurité des données) ca coûte plus d’argent et toutes les structures ne peuvent pas le financer. Au final tout dépend du risque que l’on veut couvrir, quel niveau d’assurance on veut avoir et à quel vitesse on veut couvrir les risques !

    Sans compter qu’aujourd’hui, le VRAI problème, c’est que les plans d’actions suite aux audits ne sont quasiment jamais appliqué… Et ca c’est un risque majeur !

    Il faudrait que j’écrive également un petit billet sur tout ça !

    1. Spot on. Vous mettez le doigt sur deux limitations intrinsèques au Bug Bounty tel qu’il existe aujourd’hui. Elles ne sont pas indépassables ceci dit, mais c’est certain qu’en l’état des chose, c’est un véritable obstacle, auquel il faut ajouter une quantité faramineuse de loi qui vont terriblement compliquer les choses à l’avenir.

Bouton retour en haut de la page
Share This