Sécurité

Bounty Factory : une plate-forme de « pentest » à disposition des entreprises

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°793

Cybercriminalité : un risque systémique pour les banques

Depuis 1995 et Netscape, les entreprises informatiques gèrent une partie de leur sécurité informatique en organisant des chasses aux vulnérabilités et en rémunérant les hackers pour leurs découvertes. Ces procédés, appelés Bug Bounty, étaient menés entreprise par entreprise ou par des organismes américains. Yes We Hack, site de mise en relation entre professionnels de la sécurité informatique et entreprises de toutes tailles (de la toute petite PME aux très grands comptes) a décidé de lancer sa propre plate-forme pour la chasse aux vulnérabilités. Baptisée Bounty Factory, elle permet de regrouper en un seul endroit toutes les demandes de chasse aux bugs d’un côté, et tous les chercheurs intéressés de l’autre, le tout encadré clairement et de façon légale. Chaque entreprise cliente définit le paramètre de recherche et les modalités, en interdisant par exemple le « pentest [1] » à certaines heures, pour éviter de pénaliser ses clients. Les entreprises peuvent rémunérer les hackers à la vulnérabilité trouvée (en euros, en goodies ou, pour les plus petites… en remerciements), et chaque faille remontée sera comptabilisée sur le tableau de chasse du hacker et apparaîtra comme un « succès » sur son profil Yes We Hack, pour en faciliter le recrutement.

Jusqu’à la fin février, Bounty Factory est en bêta privé, avec une centaine de spécialistes de la sécurité invités à participer ; elle passera en mode public par la suite, avec un système de cooptation pour intégrer de nouveaux hackers. Au gré du client, les recherches de failles pourront se faire en ouvrant l’accès à tous les membres ou en sélectionnant certains chercheurs. Bounty Factory prend un pourcentage sur les transactions (et récompenses) réalisées sur la plate-forme, sans vouloir pour l’instant en révéler le montant – hormis une fourchette « entre 20 et 25 % » lancée sur le ton de la plaisanterie en conférence de presse ! Parmi les clients de Bounty Factory, outre le moteur de recherche Qwant, certaines banques et start-up se sont déjà déclarées intéressées.

 

[1] Penetration test ou, en français, test d'intrusion.

 

Articles du(des) même(s) auteur(s)