Les Experts

Bientôt un «Bug Bounty» pour le gouvernement français?

Après avoir été adopté par la plupart des géants de la Silicon Valley, mais également par des entreprises comme General Electric, Western Union ou United Airlines, voilà que le Pentagone adoube à son tour le Bug Bounty, une pratique en sécurité informatique qui consiste à inviter des “hackers éthiques” à chercher des failles de sécurité pour ensuite leur acheter le résultat de leurs découvertes.

Lors de la conférence Defense One à Washington le 10 juin dernier , le Secrétaire d’Etat à la Défense Américaine Ash Carter a fait le bilan du premier Bug Bounty organisé pour le Pentagone par HackerOne , un plateforme de Bug Bounty américaine, qui à en croire les éloges, vient de décrocher son plus gros client. «Ils nous aident à être mieux sécurisés, pour un coût dérisoire» a lancé Ash Carter. «Et d’une façon qui nous confronte à l’intelligence des hackers whitehats, plutot que de finir par l’apprendre des blackhats». 

Le premier Bug Bounty du Pentagone aura été un test concluant , destiné, selon le Secrétaire d’Etat à la Défense, à «explorer de nouvelles approches pour faire face aux challenges en matière de cybersécurité, afin d’adopter les meilleures pratiques déjà mises en œuvre par les entreprises les mieux sécurisées au monde». L’arrivée, en mars dernier, d’Eric Schmidt, le patron de Google, à la tête du Comité Défense-Innovation du Pentagone , n’est peut être pas étrangère à cette expérimentation. Google a été l’un des pionnier du Bug Bounty, et a déjà dépensé plus de 6 millions de dollars en achat de failles de sécurité auprès de hackers éthiques.

En un mois, des hackers préalablement approuvés par l’administration américaine ont détecté sur une installation non-critique du Pentagone plus de cent vulnérabilités, que le Pentagone a acheté pour un prix allant jusqu’à 15 000 dollars pour les failles de sécurité les plus critiques. «C’est quasi gratuit» a commenté le chef du Pentagone , «Vous avez accès à une foule de talents qui y prennent beaucoup de plaisir, et vous obtenez un audit de sécurité presque gratuit. C’est, comment dire – Wow – un super deal». 

Il faut dire que le Pentagone est habitué à des audits de sécurité extrêmement sophisitiqués – et couteux – comme ceux où des équipes de défense (blue team) et d’attaque (red team) se confrontent pour tester les limites des infrastructures de la Défense américaine. «Pourquoi le gouvernement n’a-t-il pas fait cela avant ?» s’est demandé Ash Carter lors de l’entretien qu’il a accordé à l’organisateur de la conférence Defense One. “Il n’y a pas de bonne réponse, j’en ai peur. Car c’est sacrément efficace.”

Et en Europe ?

La France, comme tous les pays d’Europe, est elle aussi sous le coup d’attaques continues de la part d’une multitude de hackers “blackhats”, dont beaucoup travaillent pour des gouvernements. Wikileaks avait révélé l’an dernier comment les USA avait mis sous écoute des pans entiers de l’administration et du gouvernement français, et il semble évident que tout un tas d’autres pays font de même. Comme aux Etats-Unis, le besoin de renforcer leur cybersécurité amenera entreprises et administrations à adopter cette approche “crowdsourcée” de la sécurité informatique.

Mais le Bug Bounty est arrivé en Europe quatre ans après les premières plateformes américaines, avec des acteurs tels que Yogosha ou BountyFactory, et les entreprises du vieux continent en sont aux expérimentations [full disclosure : l’auteur de ces lignes est cofondateur de Yogosha].

On est encore loin du jour où le ministère de la Défense mettra en place un Bug Bounty, mais leur adoption par le Pentagone fait qu’on peut raisonnablement penser que ce ne soit qu’une question de temps.

Si le Bug Bounty a mis quatre ans à s’imposer de la sorte aux Etats-Unis, il y a fort à parier qu’il connaisse un succès similaire en Europe comme dans le reste du monde. Les Etats-Unis resteront comme le premier pays a avoir adopté le Bug Bounty pour son administration. Il reste des places sur le podium pour encore quelques nations avant gardistes.

fabrice-epelboinFabrice Epelboin est serial entrepreneur dans le numérique, il enseigne l’impact des technologies de l’information sur les gouvernances institutionnelles et corporate à Sciences Po. Paris et conseille de grands groupes quant à leur transformation digitale.

LinkedIn: epelboin

Twitter: @epelboin

 

Crédit photo: Fotolia, banque d'images, vecteurs et videos libres de droits
Découvrez WE, le nouveau media d'intelligence économique consacré à l'innovation en europe. Retrouvez les informations de plus de 4500 startups et 600 fonds d'investissements Pour en savoir plus, cliquez ici
Bouton retour en haut de la page
Share This