Chez Factorial, l’une de nos principales priorités est de garantir la sécurité de notre infrastructure et des données de nos clients.
C’est pourquoi nous nous assurons d’utiliser les outils les plus performants et les plus efficaces pour maintenir des normes de sécurité élevées et constantes.
Nous avons une équipe de sécurité diversifiée, hautement qualifiée et spécialisée dans différentes branches, ce qui nous permet de couvrir tous les composants de notre plateforme, de surveiller les attaques que nous recevons 24 heures sur 24, 7 jours sur 7, d’effectuer des tests de sécurité internes avant que de nouvelles fonctionnalités ne soient mises en production, de former les développeurs au Top 10 de l’OWASP [1], d’enquêter sur la vulnérabilité zero-day [2], parmi d’autres tâches qui indiquent que nous faisons du bon travail.
Mais par souci de concision, nous souhaitons nous concentrer sur deux termes clés : le premier est la Politique de Divulgation des Vulnérabilités (PDV) et le second est le Programme de Primes au Bogue (PPB), car nous pensons que toutes les entreprises devraient adopter au moins l’un de ces deux programmes.
La politique de divulgation des vulnérabilités, ou Vulnerability Disclosure Program (VDP), est un programme qui fournit des lignes directrices claires sur la manière dont une organisation souhaite être informée des failles de sécurité potentielles découvertes par des tiers ou des pirates informatiques externes.
Il vise à donner aux pirates éthiques des instructions sur la manière et l’endroit où signaler une vulnérabilité afin que l’équipe appropriée puisse y remédier.
Le BBP (Bug Bounty Programme), quant à lui, incite les tiers ou les pirates informatiques à trouver des failles de sécurité dans une organisation et à les signaler directement afin qu’elles puissent être corrigées en toute sécurité.
Mais à la différence des PDV, les personnes qui trouvent des failles reçoivent des récompenses monétaires.
Table des matières
Pourquoi est-ce une bonne idée d’avoir une politique de divulgation des vulnérabilités ?
C’est une excellente pratique d’avoir une politique de divulgation des vulnérabilités orientée vers le public, car elle encourage les autres à signaler les risques de sécurité qu’ils découvrent.
Il est fréquent qu’un hacker éthique trouve une faille de sécurité dans des systèmes tiers, ce qui le place généralement devant deux options :
- Soit le signaler à l’équipe de sécurité, au risque d’être dénoncé pour un tel acte (même s’il partait d’une bonne intention),
- soit le garder pour lui, précisément pour éviter de telles répercussions négatives.
Dans le cas où le pirate éthique a décidé de garder le silence au lieu de le signaler, cela démontre, à notre avis, une stratégie de sécurité faible ou déficiente de la part de l’organisation vulnérable et, par conséquent, cela met en péril sa propre sécurité et celle de ses utilisateurs.
En effet, un cybercriminel peut à tout moment accéder à la même vulnérabilité et l’exploiter à des fins malveillantes. Les cybercriminels ne dorment pas.
La décision des pirates éthiques de ne pas signaler les vulnérabilités pour éviter les risques juridiques a un impact direct et souvent tragique sur une organisation, entraînant des ransomwares ou d’autres incidents graves.
Les PDV comportent cinq points essentiels :
- Objet : la déclaration d’ouverture d’un PDV, qui doit inclure les raisons pour lesquelles vous avez un PDV et pourquoi il est important de l’avoir.
- Champ d’application : indique les propriétés disponibles et les types de vulnérabilités que nous souhaitons voir être signalées. Cela permet aux pirates de savoir sur quels actifs et quelles vulnérabilités potentielles ils doivent concentrer leur attention.
- Action sécurisée : une déclaration qui garantit aux pirates qu’ils ne seront pas pénalisés ou poursuivis pour les vulnérabilités qu’ils trouvent.
- Processus d’établissement de rapports : Marche à suivre pour que les pirates informatiques puissent soumettre des rapports de sécurité et pour savoir quelles informations doivent être fournies.
- Comment les rapports seront évalués : il peut s’agir d’indiquer que les délais de réponse varient en fonction de la gravité et de l’actif affecté, que les pirates peuvent divulguer publiquement les vulnérabilités découvertes ou qu’ils doivent attendre un courriel de confirmation, entre autres.
Avons-nous un programme de primes à la vulnérabilité chez Factorial ?
Chez Factorial, nous travaillons avec des dizaines de hackers, y compris certains des meilleurs hackers au monde, dans le cadre de notre programme de bounty privé sur HackerOne.
Nous limitons actuellement notre programme de bounty à un groupe sélectionné de hackers, reconnus pour leur grande réputation et leur haut niveau de résultats.
Nous nous assurons ainsi de ne recevoir que des rapports de qualité de la part des meilleurs professionnels.
HackerOne est une société qui permet aux organisations d’avoir leur VDP ou BBP sur leur plateforme, où les hackers peuvent faire des rapports et ceux-ci peuvent être évalués par les équipes de sécurité internes de chaque organisation.
Une fois ce rapport validé, dans le cas des programmes de bug bounty, le hacker recevra une rémunération monétaire proportionnelle au niveau de risque de la vulnérabilité signalée.
Avons-nous un programme de divulgation des vulnérabilités chez Factorial ?
Pour nous, il est gratifiant et essentiel de disposer d’un moyen sûr de recevoir des rapports de vulnérabilité de la part de tiers. De plus, nous aimons recevoir de nouveaux rapports de sécurité et améliorer la sécurité de nos systèmes.
Découvrez en plus sur notre politique de sécurité.
Tout hacker externe qui trouve une faille de sécurité peut nous la signaler, même s’il ne participe pas à notre programme privé de bug bounty.
Par conséquent, tout le monde peut trouver notre politique WTP à l’adresse https://hackerone.com/factorial et nous signaler d’éventuelles failles de sécurité à l’adresse security@factorial.co. Nous serons heureux d’examiner les rapports.
[1] https://owasp.org/www-project-top-ten/
[2] https://en.wikipedia.org/wiki/Zero-day_(informatique)