Ce matin, sur Twitter, on m'a envoyé cet article des Échos en me demandant ce que j'en pensais. Pour ceux qui auraient la flemme de le lire, ça parle d'une étude menée par le cabinet de conseil Wavestone sur le niveau de sécurité des grandes entreprises françaises.

En gros, ils ont repris tous les audits de sécurité web de 82 grosses boites françaises, réalisés entre juin 2015 et juin 2016 et le résultat est sans surprise : 100% des sites web testés ont des failles de sécurité et parmi eux, 60% ont une faille suffisamment importante pour qu'il soit possible de récupérer des données confidentielles avec celles-ci.

alerte

Alors évidemment, la première chose que je me suis dit c'est : "C'est normal". Rien n'est étanche à 100%. Si on y passe suffisamment de temps, on finira toujours par trouver une faille de sécurité sur un site. Donc évidemment, à mon sens, 100% de tous les sites web du monde ont des failles connues ou inconnues.

Je pense qu'il s'agit d'une tentative d'électrochoc pour réveiller un peu les boites, et qu'elle est parfaitement dans le timing des Assises de la Sécurité à Monaco (que je couvre en ce moment).

Maintenant il faut bien comprendre de quoi on parle. Car pour se sécuriser, les sociétés ont plusieurs outils à leur disposition. Le premier ce sont les "solutions de sécurité" que leur vendent les sociétés spécialisées pour protéger leurs systèmes informatiques. C'est très bien, ça fonctionne bien et ça permet de se sécuriser à minima. Ensuite, ce que font la plupart de ces grosses boites, c'est de monter une équipe de sécu interne à l'entreprise. Des gens chargés de vérifier que les certificats SSL sont OK, que les serveurs respectent bien les bonnes pratiques en matière de sécurité, que les mots de passe sont costauds, que les solutions dont j'ai parlé plus haut sont bien mises en place et bien sûr, ils réalisent une surveillance constante de ce qui se passe sur leurs serveurs.

Certaines boites, même si elles sont encore peu nombreuses, ont même mis en place un moment de pentest, où ces employés sécu vont prendre le temps de chercher des failles sur les sites web de l'entreprise.

Enfin, il y a les audits. Les fameux audits réalisés par des boites spécialisées, qui permettent d'avoir un bon état des lieux de la sécurité à un instant T.

Et il arrive aussi que les remontées de ces audits ne soient pas toujours suivies de correctifs. Et c'est bien dommage de ne pas prendre le temps de le faire. Mais après vous connaissez la chanson... Les développeurs ont toujours mieux à faire que de corriger leur code et tant que personne ne trouve cette faille, faire l'autruche semble être la solution la plus simple à mettre en place.

Tout cet arsenal défensif représente déjà beaucoup et je pense qu'il y a parmi toutes ces grosses sociétés françaises, des lacunes en termes d'outils défensifs, de bonnes pratiques sans parler de l'absence d'une équipe dédiée spécifiquement à la sécurité.

Mais même avec tout ça, je pense que les sociétés sont trop attentistes et pas assez pro-actives. C'est-à-dire qu'elles attendent que les failles soient remontées, voire exploitées, avant de réagir. On le voit bien ici, même un audit ne suffit pas à faire qu'elles soient corrigées.

Les audits sont réalisés durant une période limitée, par un nombre limité de personnes et donnent un bon aperçu des lacunes d'une société à un instant T. Mais au cours de la vie normale d'un site web, il y a sans cesse de nouvelles évolutions, de nouvelles fonctionnalités et mécaniquement de nouveaux bugs de sécurité qui y sont introduits.

Et ces bugs, il faudra attendre qu'ils soient découverts, lors du prochain audit, ou si la société a de la chance, par un internaute curieux de passage qui aura eu la gentillesse de le remonter et pas de l'exploiter ou le revendre au marché noir.

Heureusement, et là, je vais prêcher pour ma paroisse, il existe un moyen simple de venir combler ces périodes aveugles entre les audits avec le Bug Bounty. Pour ceux qui auraient loupé l'épisode, le Bug Bounty, ça permet à une boite de proposer un périmètre de test (privé ou public), sur lequel vont se pencher des centaines d'experts en sécurité, pendant une durée illimitée. Et si une faille est découverte, l'entreprise offre une récompense à l'expert en sécurité.

En gros, ça donne, à l'entreprise, un accès à différentes expertises et façons de faire pour prendre le taureau par les cornes et être informée directement des failles de sécurité. Le Bug Bounty, c'est donc un moyen d'arrêter de faire l'autruche en priant pour que rien n'arrive.

Évidemment, cela demande aussi un peu de travail en amont. Déjà il faut un minimum de sécurité en place sinon, les récompenses vont être distribuées trop rapidement. Ensuite, ça oblige l'entreprise à corriger ces bugs rapidement et à ne pas laisser couler comme le montre l'article des Échos. De plus, niveau coût c'est maitrisé, car c'est l'entreprise qui décide du montant des récompenses et elle peut suspendre son programme à tout moment. Donc potentiellement, n'importe quelle boite en phase de démarrage peut intégrer la sécurité dès son lancement.

Si c'est bien réfléchi en amont, il n'y a pas de freins qui empêcheraient une société de faire appel au Bug Bounty, à part une crainte purement psychologique. Par exemple chez Bounty Factory, on a levé tous ces freins.

  • 1/ On aide la boite à rédiger le périmètre le plus efficace possible
  • 2/ On a mis en place un outil simple et plaisant à utiliser
  • 3/ On permet aux entreprises qui ne veulent pas communiquer sur leur Bug Bounty, de réaliser des Bounty privées
  • 4/ On a même une équipe privée de chercheurs en sécurité avec qui on travaille depuis des années, pour les entreprises qui ont encore ce besoin de savoir "qui" va tester leur site.
  • 5/ On a mis en place un Program Manager, qui permet aux boites qui n'ont pas de ressources internes pour gérer leur Bug Bounty, de nous le confier. Nous on prend tout en charge, de la qualification des bugs, aux échanges avec les experts en sécu, et à l'attribution des récompenses. Ensuite, il ne reste plus aux boites qu'à corriger les problèmes remontés.
  • 6/ On chiffre tout et seule l'entreprise a accès aux bugs qui lui sont remontés. Même nous en interne, nous ne pouvons pas consulter le détail de ces failles de sécurité.
  • 7/ On n'a pas non plus fait les choses en mode rock n roll puisque nous avons tout cadré juridiquement avec des contrats à signer électroniquement, pour les entreprises et pour les chercheurs en sécurité. Contrats validés et revalidés par les services juridiques des grosses boites que nous avons déjà comme client. Donc on est sereins
  • 8/ On est aussi parfaitement capable de répondre aux exigences d'OIV (Opérateurs d'importance vitale) ou d'entreprises sensibles puisque toute notre infrastructure, qu'elle soit technique et juridique est basée en France et en Europe et répond à des critères de sécurité type certification ISO 27001 et attestations internationales SOC 1 TYPE II et SOC 2 TYPE II.
  • 9/ Concernant les paiements, c'est pareil. On répond aux exigences européennes sur le blanchiment d'argent et le terrorisme, donc on sait que les récompenses des Bugs Bounty n'iront pas financer des organisations criminelles.
  • 10/ Enfin, et c'est le plus important, on est super sympas et accessibles très facilement, il suffit de nous envoyer un petit mail via le site BountyFactory.io.

Bref, autant dire que rien n'empêche aujourd'hui les entreprises qui le désirent, de se lancer dans l'aventure du Bug Bounty, qui est un outil supplémentaire pour prendre les devants en matière de sécurité et ainsi contribuer à éviter les catastrophes et ce genre d'articles négatifs dans la presse.

Alors pourquoi garder la tête dans le sable ?