Qu’est-ce qu’un Bug Bounty, et à quoi cela sert-il ?

De simples mots à la mode il y a quelques années, les programmes de primes à l’exploitation des bugs (Bug Bounty) et les initiatives de divulgation des vulnérabilités ont depuis imprégné le vocabulaire cybernétique d’un large éventail d’organisations, qu’il s’agisse de géants numériques, de grandes banques d’investissement ou d’organismes gouvernementaux. Le principe de base est le suivant : les entreprises offrent une incitation financière ou une récompense aux hackers bien intentionnés pour qu’ils trouvent et signalent les vulnérabilités découvertes dans leurs actifs. La complexité vient du fait que l’entreprise à l’origine de l’initiative fixe un délai pour que les hackers découvrent et corrigent ces vulnérabilités. Wavestone a étudié l’adoption de ces initiatives au sein du secteur bancaire et les bonnes pratiques à en tirer.

3 niveaux de maturité : dispositif de signalement, politique de divulgation des vulnérabilités et programme de Bug Bounty

En ce qui concerne la divulgation de la vulnérabilité, les initiatives sont diverses et la terminologie est large : divulgation coordonnée de vulnérabilités, divulgation responsable de vulnérabilités ou politique de divulgation de vulnérabilités. Toutes ces initiatives visent à fournir aux chercheurs un moyen sûr de signaler les vulnérabilités, mais le niveau de détail concernant le processus de signalement, les règles de recherche des vulnérabilités et les attentes de l’organisation en question varient considérablement d’un programme à l’autre. À la lumière de ces observations, nous avons identifié les trois niveaux de maturité suivants que sont : le dispositif de signalement, la politique de divulgation des vulnérabilités et les programmes de bug bounty.

Le premier niveau de maturité, le dispositif de signalement, consiste généralement en une simple page web fournissant des instructions très élémentaires et un dispositif dédié au signalement des vulnérabilités. Ce premier pas vers la divulgation des vulnérabilités agit comme un filet de sécurité au cas où quelqu’un découvrirait une vulnérabilité, mais il n’attire pas activement les hackers, notamment en raison du manque d’incitation financière. Le dispositif de signalement est le deuxième type d’initiative le plus courant, représentant 28 % des initiatives identifiées.

Le deuxième niveau de maturité, la politique de divulgation des vulnérabilités, prend également la forme d’une page web dédiée mais cette fois avec beaucoup plus de détails. Elle contient des informations avancées sur les processus de déclaration, les actifs concernés, ainsi que les préférences, règles et exceptions en matière de recherche sur la vulnérabilité. En outre, dans la plupart des cas (90 %), des informations concernant les attentes que les hackers peuvent avoir après avoir soumis un rapport, tant en termes de niveau de service (SLA) que de reconnaissance publique de leur travail, sont présentées. Dans nombre de ces initiatives (77 %), les entreprises s’engagent à fournir aux hackers une sphère de sécurité et à ne pas engager de poursuites judiciaires contre eux s’ils respectent les règles et agissent de bonne foi. Ce type d’initiative peut être géré en interne ou par une plateforme tierce (HackerOne, BugCrowd, Synack, …) qui communiquera avec les hackers et supervisera le triage des bugs.

Enfin, les programmes de Bug Bounty représentent le plus haut niveau de maturité, car ils comportent le même niveau d’information que la politique de divulgation des vulnérabilités, mais cette fois, les hackers sont financièrement récompensés pour avoir signalé des vulnérabilités. L’objectif est d’attirer des hackers talentueux et de faire des Bug Bounty un outil à part entière dans les cyber-écosystèmes des banques. Des plateformes tierces peuvent soit gérer ces programmes, soit mettre en place des programmes privés auxquels seuls des hackers contrôlés auront accès (après une vérification des antécédents et des compétences). Dans de nombreux cas, les programmes privés sont utilisés comme un tremplin vers les Bug Bounty, permettant aux entreprises d’acquérir de l’expérience avec le concept avant de passer à un programme public. Ils permettent également de mettre en place des dispositifs de sécurité avancés (surveillance complète de la recherche grâce aux VPN, accords de non-divulgation, contrôle avancé, recherche sur place, …) qui facilitent le respect des normes de sécurité et de confidentialité qui sont courantes dans le secteur bancaire.

Le secteur bancaire n’est pas dépassé par les autres secteurs

Ces initiatives ont été mises en œuvre par 18 % des banques étudiées, ce qui est 2,5 fois plus élevé que la moyenne rapportée dans le Forbes Global 2000. On peut donc dire que le secteur bancaire dispose de processus bien intégrés de divulgation des vulnérabilités dans le cadre de son cyber écosystème, le secteur des banques et des assurances se classant en troisième position en termes de nombre de programmes pour les services Internet et les logiciels informatiques. Cependant, il n’est pas le plus attractif d’un point de vue financier, se classant à la 12e place en termes de rémunération moyenne pour une vulnérabilité critique, les blockchains et les crypto-monnaies offrant une rémunération moyenne presque 3 fois plus élevée (source : HackerOne’s Hacker Powered Security Report 2019).

Les banques occidentales sont plus confiantes en s’engageant dans des processus de divulgation des vulnérabilités

Bien que l’adoption de dispositifs de divulgation des vulnérabilités dans le secteur bancaire semble être mondiale, cette recherche a constaté que les initiatives sont principalement adoptées par les banques européennes et américaines avec quelques spécificités. Ces observations peuvent s’expliquer par plusieurs facteurs.

Aux États-Unis, la divulgation des vulnérabilités fait depuis longtemps partie de la culture des géants de l’industrie technologique tels que Google et Facebook qui, entre autres, ont lancé leurs propres programmes avant 2012. Les États-Unis abritent également des acteurs qui comptent désormais parmi les principales plateformes de Bug Bounty au monde, dont BugCrowd (2011), HackerOne (2012) et Synack (2013). Il n’est donc pas surprenant de constater que ces plateformes gèrent la plupart des programmes de divulgation des vulnérabilités des banques américaines.

En Europe, la situation est différente et les acteurs clés sont moins nombreux. Après plusieurs incidents cybernétiques majeurs, les Pays-Bas ont été le premier pays d’Europe à lancer une initiative nationale en publiant les lignes directrices pour la divulgation coordonnée de vulnérabilités (2013) – un effort de collaboration entre le Centre national de cybersécurité du gouvernement néerlandais (NCSC) et diverses entreprises du secteur privé. Aujourd’hui, près de 70 % des grandes banques néerlandaises disposent d’un programme autogéré de Bug Bounty et le pays a joué un rôle clé dans l’élaboration des lignes directrices de l’UE en la matière. Il est également régulièrement cité en exemple par plusieurs autorités européennes. D’autres initiatives et plateformes ont également vu le jour ailleurs en Europe, comme YesWeHack, Intigriti, HackenProof, ou encore Yogosha. Cependant, il est difficile d’évaluer avec précision l’émergence des programmes de Bug Bounty en Europe, car plus de la moitié d’entre eux sont privés et ne disposent pas d’informations accessibles au public à des fins de confidentialité.

En Asie, les banques sont moins proactives en matière de divulgation des vulnérabilités en raison de réserves sur les programmes privés et d’autres facteurs culturels. Cependant, ces dernières années ont vu se multiplier les initiatives de la part des géants technologiques asiatiques et des institutions gouvernementales, notamment à Singapour et au Japon. Cela n’est pas surprenant, car de nombreuses institutions gouvernementales ont lancé ce type d’initiative par le passé (par exemple, Hack The Pentagon aux États-Unis ou le récent programme de Bug Bounty de l’application StopCovid géré par YesWeHack en France).

Se lancer dans la divulgation de vulnérabilités nécessite une préparation réellement efficace

Avec de nombreuses réussites et un nombre croissant d’entreprises de tous les secteurs qui lancent des programmes de divulgation des vulnérabilités, il est tentant de suivre la tendance. Cependant, pour assurer le succès de ce type d’initiative, il est crucial de se pencher sur quelques points clés.

Premièrement, un programme de divulgation des vulnérabilités ou des bugs doit s’inscrire dans une approche globale de la cybersécurité et compléter les mesures plus traditionnelles telles que les revues régulières du code, la sécurité by design, les audits de sécurité et les tests d’intrusion. Le signalement des bugs et des vulnérabilités n’est que la première étape du processus. L’entreprise doit ensuite disposer des compétences internes nécessaires pour analyser les rapports fournis et remédier aux vulnérabilités dès que possible.

Ensuite, pour éviter de faire perdre du temps aux hackers et à l’entreprise, la portée du programme doit être soigneusement conçue afin de maximiser son efficacité et d’empêcher l’intrusion des hackers sur des actifs indésirables. Les mêmes règles s’appliquent en ce qui concerne les règles de recherche et de signalement.

Enfin, il est crucial de s’intéresser aux motivations des hackers pour assurer le succès d’un programme de Bug Bounty. Les attentes relatives à la soumission d’un rapport doivent être clairement spécifiées et porter sur le processus, le temps de réponse et la récompense. Une communication constante avec la communauté des hackers ainsi qu’une évolution du programme ou des récompenses sont des éléments clés qui peuvent assurer la durabilité du programme et la motivation des hackers, contribuant ainsi au succès du programme.

L’image des hackers est encore souvent associée à des actions criminelles…

En ce qui concerne les Bug Bounty, l’une des principales préoccupations est la sécurité, les organisations se demandant si le fait d’exposer leurs plateformes aux hackers pourrait conduire à l’exploitation des vulnérabilités découvertes par la vente des données des utilisateurs ou des vulnérabilités elles-mêmes directement sur le marché noir.

Ces craintes sont en partie justifiées, car les données des utilisateurs peuvent désormais être facilement vendues sur le marché noir : les cartes de crédit, les passeports, les dossiers médicaux ou les informations d’authentification peuvent être vendus pour moins de 15 euros et le phishing ciblé utilisant ces informations peut générer encore plus de profits. Une vulnérabilité critique peut également être exploitée et donner lieu à une cyber-attaque beaucoup plus importante, comme l’ont montré les ravages causés par les cryptolockers ces dernières années. Toutefois, ces incidents sont rarement liés à des programmes de Bug Bounty, car les hackers malveillants n’attendent pas que les organisations lancent des programmes de Bug Bounty pour les attaquer. Au contraire, ces attaques peuvent se produire à tout moment.

Deuxièmement, des compétences et des niveaux de préparation différents sont nécessaires pour trouver les vulnérabilités et les exploiter.

Enfin, l’argent est la principale motivation des pirates participant à ces programmes dans moins de 15% des cas, selon HackerOne. Pour la majorité des hackers, le hacking est une passion et ils sont surtout à la recherche de défis et d’opportunités pour améliorer leurs compétences et rendre le web plus sûr – dans ce cas, les récompenses financières ne sont qu’un bonus et se mettre du mauvais côté de la loi n’en vaut pas la peine.

Politique de divulgation des vulnérabilités : une première étape pour améliorer la cybersécurité

La divulgation des vulnérabilités et les initiatives de Bug Bounty sont désormais un sujet dominant dans le domaine de la cybersécurité, et le secteur bancaire ne fait pas exception. Bien que les programmes de Bug Bounty ne soient pas des solutions miracles et qu’un certain effort soit nécessaire pour s’assurer qu’ils sont réellement efficaces, la mise en œuvre d’une politique de divulgation des vulnérabilités semble ajouter une grande couche de sécurité supplémentaire pour un faible investissement. Nous ne pouvons donc que recommander la mise en œuvre d’une telle politique dès que la maturité cyber d’une organisation le permet.

Cet article Bug Bounty: aperçu et benchmark du secteur bancaire à l’horizon 2021 est apparu en premier sur RiskInsight.

Au cours du Cybersecurity Summit de l’année 2016, l’un des principaux événements de l’île autour de la cybersécurité, l’autorité des marchés de Hong Kong (Hong Kong Monetary Authority – HKMA) a annoncé le lancement du programme CFI, ou « CyberSecurity Fortification Initiative ». Il s’agit d’un plan pluriannuel visant à renforcer la sécurité des banques locales.

Voici les principaux points à retenir de cette initiative, qui reprend les meilleures pratiques internationales en termes de cybersécurité, ainsi qu’une approche novatrice de la cyber threat intelligence.

Une amélioration du niveau de sécurité articulée autour de trois axes

CFI est une initiative sur laquelle travaille la HKMA pour renforcer la cyberresilience (i.e. la capacité à résister/survivre d’une cyberattaque) des organisations. Elle cible toutes les institutions autorisées [1] Authorized Institutions (ou AIs), autrement dit l’ensemble des banques de Hong Kong et repose sur trois piliers :

Un framework d’évaluation de la « cyber-résilience »

Chaque banque aura en charge le déploiement du framework sur son périmètre, ce qui permettra à la HKMA d’ »obtenir une vue globale du niveau de maturité des AIs individuelles ainsi que de l’ensemble du secteur bancaire ». Il se décompose en trois grandes étapes :

• Évaluation des risques dit « inhérents » : étude du niveau de risque de l’organisation, sur les volets aussi bien métiers que technologiques – ce qui nécessite une bonne compréhension de ces deux domaines. Le niveau de risque sera évalué comme élevé, moyen ou faible.
• Évaluation de la maturité : une évaluation du niveau actuel de maturité de l’organisation en termes de cybersécurité
• Des simulations de cyber-attaques, ou Intelligence-led Cyber Attack Simulation Testing (iCAST), pour les banques ayant un risque inhérent évalué comme élevé ou moyen. L’objectif de cette étape est de simuler les cyberattaques, non seulement d’un point de vue technique, mais aussi en prenant en compte les personnes et les processus.

Bien que tous les détails ne soient pas encore publics, les deux premières étapes sont similaires à l’outil FFIEC Cybersecurity Assessment Tool, mis en place par le régulateur américain, et qui a été déployé par de nombreuses grandes banques au cours de l’année passée.  Une correspondance doit être faite entre le niveau de risque et le niveau de maturité réelle. En cas d’écart de ces deux indicateurs, la banque devra fournir une feuille de route pour le combler.

La troisième étape, elle, est plus innovante, en particulier de la part d’un régulateur. En effet, iCAST ne repose pas seulement sur des tests d’intrusion techniques, mais demandera aux banques de réaliser de véritables tentatives d’attaques, en s’appuyant notamment sur des données issues de la threat intelligence. Ce type de test « agressif » (aussi appelé « Red Team ») est l’un des moyens les plus efficaces pour tester le niveau de sécurité réel d’une organisation.

1. Un programme de développement professionnel

Le CFI vise également à professionnaliser le secteur de la cybersécurité à Hong Kong, en instaurant un système de certification et de formation offrant trois niveaux : « basique », « professionnel » et « expert ». Il est prévu que les certifications du Council for Registered Ethical Security Testers (ou CREST) britannique intègrent ce programme de développement. Des équivalences seront par ailleurs mises en place pour « veiller à ce qu’une expérience ou une expertise dans le domaine de la cybersécurité soit reconnue. ».

2. Une plateforme de partage CyberIntelligence

La threat intelligence, ou renseignement sur les menaces en français, est devenue essentielle. Chaque entreprise peut développer ses propres compétences et méthodes, mais le succès même de l’approche passe par le partage de l’information. Par conséquent, la HKMA planifie de lancer une plate-forme de partage CyberIntelligence, accessible à toutes les banques agréées à Hong Kong. Son objectif sera d’offrir un système sécurisé et adapté pour partager des données pertinentes, sans compromettre la confidentialité des informations.

3. Un déploiement pas à pas pour le programme

Trois étapes ont été fixées pour les banques à Hong Kong :

• Une consultation du secteur bancaire a commencé fin mai 2016 pour une durée de trois mois, afin de récupérer des retours sur la version préliminaire du framework de cyber-résilience.
• Il est important de noter que la HKMA requiert une participation des conseils de surveillance ou des directions générales des banques. L’évaluation devra être menée par des « professionnels qualifiés possédant les connaissances et l’expertise nécessaires ».
• La HKMA travaillera avec les organisations professionnelles et publiques afin de déployer les premiers cours de formation et de mettre en place de la plate-forme de partage CyberIntelligence d’ici fin 2016.

L’évolution des normes à Hong Kong

Cette initiative de la HKMA tombe dans un contexte réglementaire en rapide évolution à Hong Kong. Plusieurs approches susceptibles de changer la donne vont en effet y façonner l’avenir de la sécurité de l’information dans les années à venir.

En particulier, la circulaire récente sur la cybersécurité ciblant les organisations régulées par la Securities and Futures Commission (SFC), et la révision à venir sur les lois traitant des données à caractère personnelles.

Avec près de 200 banques sur son territoire, Hong Kong se saisit ainsi pleinement du sujet de la cybersécurité, crucial pour maintenir sa position de centre financier de premier plan en Asie.

Cet article Hong Kong lance un vaste programme Cybersécurité pour son secteur bancaire est apparu en premier sur RiskInsight.

Cibler le bon levier de performance

Les leviers de performance existent en nombre : réduction des coûts, cloud, évolution des relations MOA/MAE, développement du savoir-faire économique au sein des DSI, poursuite de l’offshore, évolution des usages, etc. Une des clés de la réussite d’un plan de performance sera le choix des bons leviers. Ces leviers doivent être limités en nombre et doivent concerner des périmètres de maturité moyenne pour la DSI. Les périmètres maintes fois optimisés génèreront des gains faibles en volume et les périmètres peu matures ne permettront pas de gain à court terme, les actions étant plus compliquées à mettre en œuvre que sur un périmètre maîtrisé.

Responsabiliser l’ensemble des acteurs

La responsabilisation des acteurs du plan de performance est un sujet délicat parce qu’à court terme, les actions proposées vont aller à l’encontre des intérêts desdits acteurs : réduction des moyens, changement des modes de fonctionnement, mise en lumière des dysfonctionnements, etc. Il faut donc s’assurer que les acteurs soient responsabilisés sur l’atteinte des objectifs globaux du plan de performance et non sur des sous périmètres pouvant entraîner des actions locales ayant un effet finalement contraire aux objectifs globaux.

Choisir des critères de mesures simples et opposables

Bon nombre de plans de performance sont analysés à l’aulne de critères peu opposables car décorrélés des indicateurs de suivi de l’activité de la DSI. Le biais est évident et tout à fait humain, les acteurs en charge de la mesure passeront plus de temps à chercher comment faire évoluer positivement l’indicateur plutôt qu’à réaliser les actions de performance identifiées. Typiquement, la mesure de gains économiques décorrélés du résultat de la DSI – auditable dans les comptes – est rarement pertinente parce que directement dépendante de la méthodologie de calcul des gains (prise en compte des coûts évités, euros constants versus euros courants, etc.). Ce type d’approche peut par exemple conduire à afficher, en toute bonne foi, des gains théoriques conséquents mais une augmentation de la facture pour le client ! A contrario, un classique objectif de réduction des coûts par rapport à ceux inscrits au budget est un objectif simple, mesurable et opposable.

Le facteur clé de la réussite d’un plan de performance, c’est donc sa simplicité : un périmètre circonscrit et une responsabilisation sur un objectif global, opposable et mesurable. Cette simplicité est la garantie de faire d’un plan de performance un vecteur d’excellence pour les clients et pour l’ensemble des équipes impliquées. Pourquoi ne pas le vérifier dès 2012 ?

Cet article PERFORMANCE – Concept relativiste ou vecteur d’excellence ? est apparu en premier sur RiskInsight.