Le 1er cabinet de conseil indépendant en France lance une nouvelle offre destinée à évaluer la sécurité des sites Internet
Alors que la question de la sécurité des sites web est au cœur des préoccupations des entreprises, les attaques et les fuites de données continuent de défrayer la chronique. Pour y faire face, les entreprises sont en permanence à la recherche de nouvelles manières d'identifier et d'éradiquer les vulnérabilités de leurs systèmes. Le « Bug Bounty », consistant à solliciter des chasseurs de failles et à les rémunérer en fonction des vulnérabilités identifiées, suscite en ce sens un fort intérêt. Une tendance de fond qui n'a pas échappée à l'équipe « Cyber sécurité et confiance numérique » de Wavestone,
qui annonce aujourd'hui le lancement de son offre : Bug Bounty by Wavestone.
Bug Bounty : chercher la faille…
Le principe du Bug Bounty a vu le jour aux États-Unis il y a plus de 20 ans avec la compagnie Netscape, puis a progressivement été adopté par les grands noms d'Internet dont Google, Facebook, et plus récemment Apple. Le principe de ces programmes de Bug Bounty publics est simple : récompenser financièrement les internautes enthousiastes qui remontent des vulnérabilités, afin de les remercier pour leur aide.
En France, les entreprises lançant leur propre programme de Bug Bounty publics restent très rares. La tendance est plutôt de s'associer à des structures dédiées qui assurent la mise en relation avec les chasseurs de failles et s'assurent de la gestion de tels programmes. Ces structures ont vu le jour aux États-Unis et arrivent progressivement en Europe et en France depuis deux ans. En complément des Bug Bounty publics, ces plateformes proposent aussi des Bug Bounty privés afin de réduire la visibilité du programme à des chasseurs présélectionnés.
« Au-delà des tests d'intrusion habituels, le Bug Bounty est une manière complémentaire d'évaluer la sécurité de son site Internet, en particulier pour les entreprises les plus matures » indique Yann Filliat, responsable de l'offre Audit de Wavestone. Le Bug Bounty apporte en effet une dynamique séduisante pour les entreprises qui peuvent ainsi espérer être récompensées de leurs efforts de sécurisation en ne payant que lorsque des failles sont détectées. Attention toutefois à ne pas être trop confiant, sous peine de voir son budget Bug Bounty s'envoler si de nombreuses failles sont découvertes.
Bug Bounty by Wavestone : l'alliance de l'expertise, du conseil et de la confidentialité
Interlocuteur privilégié des responsables sécurité des grandes entreprises, l'équipe « Cyber sécurité et confiance numérique » du cabinet de conseil Wavestone, qui compte 400 collaborateurs, constate l'engouement que suscitent les Bug Bounty mais aussi les questions qui peuvent encore freiner certaines entreprises.
Fort de ce constat et afin d'accompagner ses clients dans cette dynamique, Wavestone complète aujourd'hui son offre d'audits de sécurité et tests d'intrusion par le « Bug Bounty by Wavestone ». « Nos clients sont intéressés par le principe de paiement en fonction des failles découvertes qui valorisent les projets les mieux conçus et pénalisent ceux ayant négligé la sécurité. Mais ils souhaitent également des garanties sur qui va analyser leur site et sur la manière dont les résultats vont être consolidés et communiqués » détaille Gérôme Billois, senior manager au sein de Wavestone.
Premier cabinet de conseil en France à proposer un paiement à la faille découverte, Wavestone apporte sa touche personnelle dans le paysage Bug Bounty, en alliant expertise technique, approche conseil et confidentialité de bout en bout et en garantissant que :
- Les auditeurs mobilisés, plus de 40, avec des expertises variées dans de nombreux domaines techniques, ont tous une relation de travail stable et officielle au sein de Wavestone et sont soumis à une charte éthique.
- Les tests sont réalisés dans le périmètre de la certification sécurité ISO 27001, qui a pour but d'assurer la confidentialité des données d'audits.
- Chaque Bug Bounty fait l'objet d'une qualification amont par un expert Wavestone, ceci pour répondre aux questions que se pose le commanditaire, mobiliser les bons auditeurs et garantir que le périmètre souhaité sera concrètement audité.
- En plus de détailler les failles techniques, les rapports de faille précisent les recommandations à mettre en œuvre, élaborées grâce à l'expertise et aux nombreux retours d'expérience de Wavestone.
- Au-delà des remontées de failles au fil de l'eau, un échange téléphonique de clôture est systématiquement réalisé à l'issue de la période du Bug Bounty pour fournir une synthèse consolidée des vulnérabilités et aider à prioriser les actions à mener si besoin.
Le programme de Bug Bounty acceptera ses premières soumissions dès le 1er décembre. Retrouvez l'ensemble des informations sur le site de Wavestone : wwa.wavestone.com dans la rubrique Offre – Cybersécurité & confiance numérique.
A propos de Wavestone
Dans un monde où savoir se transformer est la clé du succès, l'ambition de Wavestone est d'apporter à ses clients des réponses uniques sur le marché, en les éclairant et les guidant dans leurs décisions les plus stratégiques.
Wavestone rassemble 2 500 collaborateurs présents sur 4 continents. Il figure parmi les leaders indépendants du conseil en Europe, et constitue le 1er cabinet de conseil indépendant en France.
Wavestone est un nouveau cabinet de conseil, issu du rapprochement, début 2016, de Solucom et des activités européennes de Kurt Salmon (hors consulting dans les secteurs retail & consumer goods).
Plus d'informations sur wwa.wavestone.com
Wellcom PR Agency
Sonia El Ouardi
sonia.elouardi@wellcom.fr
– SECURITY MASTER Key : m25tZ51vl2rIm5xrY5Znl5KWbmlnmpSVlmTLlJVtYsiab3BklmeVl8fGZm1nmW5n
– Pour contrôler cette clé : https://www.security-master-key.com.