Après la commission européenne qui a validé fin 2017 un premier appel d’offres de Bug Bounty pour un montant de 60 000 euros, le ministère des Armées a annoncé lors du FIC le lancement de son premier programme de Bug Bounty.
Une dynamique au coeur de laquelle se positionnent les principales plateformes européennes que sont Yogosha, YesWeHack, Integrity ou ZeroCopter. Mais elles doivent faire face aux acteurs américains qui entendent se développer sur le marché européen avec une force de frappe propre à Oncle Sam.
La chasse aux trésors cyber est lancée
Le bug bounty consiste donc à faire appel aux compétences de personnes chevronnées en informatique, ces hackers éthiques, afin de détecter des bugs et des failles de sécurité, des vulnérabilités en matière de cybersécurité des organisations. Il porte sur des sites web, des applications ou des objets connectés. Les hackers éthiques sont alors rémunérés par des primes pouvons aller jusqu’à plusieurs dizaines de milliers d’euros ou de dollars pour les failles les plus critiques. « Ces hackers agissent en accord avec l’organisation cible via une plate-forme. Nous réunissons sur une plateforme des hackers éthiques sélectionnés avec soin après des tests en ligne sévères. Le principe est de les récompenser pour les failles de sécurité informatiques qu’ils reportent, avant que ces vulnérabilités ne soient exploitées par des hackers malveillants. » explique Yassir Kazar, CEO de Yogosha, plateforme créée en 2016 qui signifie « défense » en japonais.
Yogosha, distinguée cette année du prix Spécial du Jury lors de la remise du Prix de la start-up FIC propose « une communauté de hackers rigoureusement sélectionnée et une plateforme collaborative. Les entreprises peuvent monitorer des programmes de recherche et optimiser la détection et la remédiation de leurs failles de sécurité de manière continue sur tout le périmètre applicatif IT (site marchand, plateforme SaaS, espace client, site web, API…). » détaille Yassir Kazar, lui même hacker… et d’ajouter « Je tiens à remercier sincèrement le jury du FIC pour ce prix prestigieux, qui représente pour notre start-up une nouvelle occasion d’agir au plus près des RSSI tout en valorisant le hacking éthique. Toute l’équipe Yogosha est fière d’avoir été sélectionnée et récompensée par le jury, qui confirme par son initiative notre positionnement différenciant sur le marché de la sécurité crowdsourcée/bug bounty ».
Le
ministère des Armées franchit le pas
Florence
Parly,
en direct du Forum International de la Cybersécurité à Lille, a
appelé les industriels de la Défense
à
oeuvrer avec les armées à un arsenal commun contre la menace cyber
pour une défense de bout en bout et annoncé le lancement fin
février
d’un « Bug bounty » afin de débusquer les failles des
systèmes. « Le
commandement cyber avec la Direction générale
de l’armement sera la tour de contrôle
de cet effort et j’appelle tous nos industriels à s’engager pour
consolider encore notre cybersécurité »,
a déclaré
la ministre des Armées lors de son discours.
Rappelant que la cyber guerre avait commencé, elle a précisé que des hackers éthiques seront recrutés au sein de la réserve opérationnelle cyber et « pourront se lancer à la recherche des failles dans nos systèmes et s’ils en découvrent, en être comme il se doit récompensés ».
Cette initiative s’inscrit dans le cadre d’un accord signé entre le Commandement de Cyberdéfense et la plateforme privée Yes We Hack. « Tous ces chercheurs en vulnérabilité testeront donc les périmètres mis à contribution par le ministère des Armées. Un site web, une URL, des adresses IP, ce peut être également des logiciels du ministère des Armées. Probablement vont-ils commencer par defense.gouv.fr, ou l’un de ses sous-domaines en particulier. » témoigne YesWeHack.
Ainsi, le ministère s’inscrit dans les traces de nombreux groupes privés ayant déjà recours au programme de Bug Bounty pour améliorer leur cybersécurité tel que BlaBlaCar, BNP, Thales, VEOLIA, L’OREAL, les Galeries Lafayette, ou encore la Française des Jeux. Parmi ces grands noms beaucoup sont aujourd’hui clients de la plateforme Yogosha tout comme Cdiscount, premier site d’e-commerce français qui collabore avec la start up pour sécuriser les données de plus de 8,6M de clients actifs. « Notre engagement avec Yogosha repose sur plusieurs critères : la complémentarité et la rapidité d’exécution, ainsi que les recommandations effectives, ce qui nous permet d’obtenir des rapports précis, granulaires, pour que nos équipes internes corrigent les faiblesses découvertes. Cette forte collaboration avec Yogosha permet à Cdiscount d’élever son exigence de sécurité tout en permettant à l’entreprise de continuer à innover et à répondre aux besoins de ses clients. » témoigne Fabien Lemarchand, RSSI de Cdiscount.
Des initiatives nombreuses qui soulignent un certain changement de portage culturel dans l’Hexagone. Des pratiques nouvelles sur le vieux continent, mais déjà très développées et valorisées aux Etats-Unis. Le Géant américain Microsoft n’hésite pas à valoriser à hauteur de 20000 dollars les primes des hackers capables d’identifier des failles permettant d’injecter du code à distance dans les systèmes de sa plateforme Azure DevOps.
La commission européenne préfère les américains
La commission européenne a elle lancé fin 2014, le programme EU-FOSSA avec un double objectif : contribuer au développement de l’Open source et améliorer sa sécurité en renforçant les liens entre les professionnels de la sécurité et la communauté open source. Le projet a débouché sur un « bug bounty » pilote concernant le gestionnaire de mot de passe KeePass et le serveur http Apache, sans qu’aucune vulnérabilité majeure ne soit identifiée.
« Après ce premier essai, décision a été prise de prolonger le programme et un budget de 1,9 million d’euros a été voté par le Parlement. Un premier appel d’offres pour un montant de 60 000 euros maximum a donc été lancé en juin 2017 concernant le populaire lecteur multimédia VLC, largement déployé sur les ordinateurs de la Commission. Mais surprise lors des résultats de la consultation: alors que les principales plateformes européennes que sont Yogosha, YesWeHack, Integrity ou ZeroCopter, se sont toutes positionnées, le marché est remporté par HackerOne, la première plateforme américaine. Principaux arguments avancés par la Commission dans sa réponse: la taille de la communauté de hackers éthiques mobilisée par HackerOne (100 000 personnes) et une proposition financière plus attractive. » souligne Guillaume Tissier, Président de CEIS. Yes We Hack dispose pour sa part d’un vivier pouvant aller jusqu’à 6 500 personnes, qui se renouvelle régulièrement, à raison de 150/200 arrivées et départs par mois. Yogosha, qui cherche à « industrialiser la démarche » selon les mots de son dirigeant, propose une communauté plus étroite de 500 personnes mais dont la liste d’attente compte plus de 4000 prétendants…
La victoire d’HackerOne soulève une question de sécurité. Même si la plateforme agit comme un tiers de confiance, lancer un bug bounty signifie exposer ses failles avec tous les risques que cela comporte quand on fait appel à une communauté externe. « Mais cette victoire met aussi et surtout au grand jour les difficultés du marché européen du numérique face au principe du « winner takes all » cher aux grandes plateformes numériques. L’importance des effets réseaux concentre le marché sur un opérateur largement dominant, les suivants ne récupérant que des miettes. » ajoute Guillaume Tissier dans une tribune.
Si HackerOne, qui a distribué pas moins de 14 millions de dollars aux hackers depuis sa création et levé 40 millions de dollars auprès du fond suédois EQT Venture, a l’ambition de développer ses activités en Europe, « il importe aussi de créer les conditions permettant à ses concurrents européens Integrity, Zerocopter, Yogosha ou encoreYesWeHack de se développer. L’appel d’offres de plus grande ampleur qui devrait être prochainement lancé en procédure ouverte par la Commission pourrait ainsi être l’occasion de mettre en avant des acteurs européens… » conclut Guillaume Tissier.