REVUE

Recommendations

Info

dossier « BuG BounTy ProGrAm » : L'AVènEmEnT DES PLATES-FormES EuroPéEnnES exploitant malveillant n'en profite. Pour arbitrer les relations et répondre aux challenges, des plateformes de "Bug Bounty Program" ont vu le jour. Ces intermédiaires offrent aux deux parties les interfaces de communication et les règles de conduite pour se comprendre. Du point de vue des entreprises, les bugs sont énumérés unitairement dans un format standardisé. Encore faut-il qu'elles possèdent la main-d’œuvre nécessaire et suffisante pour interpréter les rapports de bugs, une quantité importante de rapports devant être traitée par priorité selon la catégorie et l'impact sur le système. Cette limpidité offre une grande agilité et une réactivité pour les équipes en charge. Les plates-formes de "Bug Bounty" s’attachent à accompagner les entreprises notamment sur les questions du périmètre et des seuils de rémunération. Quant aux hackers, elles leur offrent un filtre et des ressources pour normaliser et soumettre des rapports de qualité et assurent le bon déroulement des paiements. La normalisation des vulnérabilités est un défi, accentué par des profils de hackers venus d’horizons divers. Il existe cependant des programmes privés, accessibles uniquement à une élite de chercheurs. Ces programmes garantissent l’appel à des professionnels dans la recherche de vulnérabilités. L’interaction entre toutes ces parties implique un langage commun, par conséquent l'avènement de plates-formes européennes devient une évidence pour l'autonomie et l’efficacité de nos acteurs économiques et institutionnels. En Europe, les initiatives sont encore timides mais une startup a relevé le défi : yoGoSHA, qui signifie défense en japonais. Elle innove en proposant l'intégration d'applications auditées sur des environnements virtuels afin de laisser libre champ aux auditeurs en préservant les infrastructures en production. Par ailleurs, la startup accompagne les entreprises avant, pendant et après l’établissement du programme. Les entreprises sont ainsi plus sereines dans la détermination du périmètre et sont encadrées afin d'orienter le travail des auditeurs. Finalement, l'entreprise achète ses propres failles, l'auditeur est rémunéré et la plate-forme veille au bon déroulement des opérations. La sécurité devient un produit. De nouveaux paradigmes sont à inventer et le "Bug Bounty Programs" est au cœur de ces innovations de procédés. Indéniablement, une évolution des rapports de force est en marche et tend vers une relation tripartie gagnant-gagnant basée sur un 82 Revue de la Gendarmerie Nationale 4 e trimestre 2016
dossier « BuG BounTy ProGrAm » : L'AVènEmEnT DES PLATES-FormES EuroPéEnnES élément fondamental : la confiance. En avril 2016, le programme "Hack the PEnTAGon" est lancé, impulsé par le département de la défense numérique Américain en collaboration avec la plateforme HACKEronE. Plus de 1000 chasseurs de bugs se sont attardés sur les infrastructures gouvernementales, découvrant de nombreuses vulnérabilités. En complément des applications standards de sécurité des systèmes et des audits, les "Bug Bounty Programs" sont une réponse originale et pragmatique à la montée en complexité des attaques et à la créativité des cybercriminels. Apprécié des hackers, le « Bug Bounty Programs » est un système méritocratique et pérenne. Les « Bug Bounty Programs» offrent une récompense à tous ceux qui trouvent des failles de sécurité dans un périmètre donné de leur système informatique. Ils sont soumis à un budget global réparti par l’entreprise sponsor ou son intermédiaire en fonction de critères objectifs et subjectifs d’appréciation. Plus la faille est critique, complexe, bien documentée avec si possible un « Proof of Concept », des recommandations, voire un patch, plus la récompense sera élevée. Les entreprises souhaitant recourir à cette pratique fixent le plus souvent les conditions dans lesquelles doit s’exercer la recherche de failles et définissent notamment : • le périmètre d’action, certains programmes limitant la recherche de faille à un logiciel précis, une application ou à certains sites internet ; • le type de failles ouvrant droit à rémunération. Il peut s’agir d’identifier une faille affectant la confidentialité ou l’intégrité des données des utilisateurs n’ayant jamais été repérée ou d’un simple bug; • la durée du Bug Bounty program : le plus souvent la période de test étant enfermée dans un délai précis avec des dates d’ouverture et de fermeture; • des règles de confidentialité : les Bug Bounty program insistent sur la nécessité de ne pas révéler la faille au public ou à des tiers avant qu’elle ne soit réparée; • des règles de protection des données personnelles : lorsque les Bug Bounty program concernent des sociétés en possession de données à caractère personnel (ex : Facebook, Google), l’exigence éthique est renforcée vis-à-vis des auditeurs. Ainsi, Facebook ou Google précisent dans leurs conditions l’obligation d’effectuer des tests via des comptes spécialement créés à cet effet ou d’obtenir l’accord explicite du propriétaire du compte sur lequel sont effectués les tests ; • des règles de conflit de lois : certains programmes précisent la juridiction compétente dans l’éventualité d’un conflit (par exemple, le Bug Bounty program 4 e trimestre 2016 Revue de la Gendarmerie Nationale 83
Page 1 and 2:
INTERNATIONAL > Safe Harbour DROIT
Page 3 and 4:
avant-ProPos numéro 256 Ce que pro
Page 5 and 6:
Dossier Une sécurité intelligente
Page 7 and 8:
internationaL Vers un agenda franco
Page 9 and 10:
internationaL VErS un AGEnDA FrAnCo
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
internationaL Les implications juri
Page 17 and 18:
internationaL LES ImPLICATIonS JurI
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
société La DAcG et la lutte contr
Page 25 and 26:
Les acteurs régaLiens LA DACG ET L
Page 27 and 28:
société Les acteurs régaliens de
Page 29 and 30:
Les acteurs régaLiens LES ACTEurS
Page 31 and 32: Les acteurs régaLiens LES ACTEurS
Page 59 and 60: dossier Le dispositif d’assistanc
Page 61 and 62: dossier Le dispositif d’assistanc
Page 63 and 64: dossier PHAros : agir contre les co
Page 65 and 66: dossier PHAroS : AGIr ConTrE LES Co
Page 67 and 68: dossier PHAroS : AGIr ConTrE LES Co
Page 69 and 70: dossier Les périphériques Usb en
Page 71 and 72: dossier LES PérIPHérIQuES uSB En
Page 73 and 74: dossier Le calculateur quantique, m
Page 75 and 76: dossier LE CALCuLATEur QuAnTIQuE, m
Page 81: dossier « bug bounty Program » :
Page 85 and 86: dossier L’influence de la communa
Page 87 and 88: dossier L’InFLuEnCE DE LA CommunA
Page 93 and 94: dossier La formation en cybersécur
Page 95 and 96: dossier LA FormATIon En CyBErSéCur
Page 97 and 98: dossier Les crypto monnaies : une i
Page 99 and 100: dossier LES CryPTo monnAIES : unE I
Page 105 and 106: dossier Le cyberespace et les enjeu
Page 107 and 108: dossier LE CyBErESPACE ET LES EnJEu
Page 109 and 110: dossier LE CyBErESPACE ET LES EnJEu
Page 111 and 112: dossier Les enjeux relatifs à la t
Page 113 and 114: dossier LES EnJEuX rELATIFS À LA T
Page 121 and 122: dossier Former des citoyens numéri
Page 123 and 124: dossier FormEr DES CIToyEnS numérI
Page 129 and 130: dossier La communication « Machine
Page 131 and 132: dossier LA CommunICATIon « mACHInE
Page 133 and 134:
dossier LA CommunICATIon « mACHInE
Page 135 and 136:
Comme le prône l'Institut de reche
Page 137 and 138:
techniQue collectivités locales et
Page 139 and 140:
techniQue CoLLECTIVITéS LoCALES ET
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
techniQue La cybersécurité effica
Page 147 and 148:
techniQue LA CyBErSéCurITé EFFICA
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
techniQue La mission ecoter et les
Page 155 and 156:
techniQue LA mISSIon ECoTEr ET LES
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
droit Les évolutions en matière d
Page 163 and 164:
droit LES éVoLuTIonS En mATIèrE D
Page 165 and 166:
droit LES éVoLuTIonS En mATIèrE D
Page 167 and 168:
droit cybercriminalité et compéte
Page 169 and 170:
droit CyBErCrImInALITé ET ComPéTE
Page 171 and 172:
droit CyBErCrImInALITé ET ComPéTE
Page 173 and 174:
droit Un autre aspect de la sécuri
Page 175 and 176:
droit un AuTrE ASPECT DE LA SéCurI
Page 177 and 178:
droit un AuTrE ASPECT DE LA SéCurI
Page 179 and 180:
droit régime juridique du ransomwa
Page 181 and 182:
droit réGImE JurIDIQuE Du rAnSomWA
Page 183 and 184:
Page 185 and 186:
Page 187:
Le CECyF Le centre expert contre la
show all

REVUE

Create successful ePaper yourself

Delete template?

Save as template?