L’externalisation de la chasse aux bugs est plus que jamais à la mode. Très en vogue au sein des entreprises, la pratique se répand désormais dans la sphère publique. À l’occasion du Forum International de la Cybersécurité, la ministre des Armées a ainsi annoncé l’ouverture d’un « bug bounty » consacré à la sécurisation des logiciels utilisés par son administration.
Un partenariat a été conclu entre le Commandement de cyberdéfense, une structure mise en place fin 2016 et dirigée par le général de division Olivier Bonnet de Paillerets, et Yes We Hack, une plateforme de chasse aux bugs — lancée début 2016 en France — et d’offres d’emploi dans le domaine de la sécurité informatique. La traque aux défauts de conception commencera fin février, indique la ministre.
Le principe de la chasse aux bugs est de solliciter des talents extérieurs pour repérer des défauts de conception logicielle. En échange, l’organisation qui a mis en place ce programme verse une somme plus ou moins élevée selon la gravité de la brèche qui a été signalée. Celle-ci doit avoir été remontée selon un protocole bien précis pour que la récompense soit accordée.
Et bien sûr, elle doit avoir été gardée secrète jusqu’à ce que le correctif adéquat soit appliqué.
Pas ouvert à n’importe qui
Au regard de la nature des logiciels et des systèmes qui seront examinés, tout le monde ne pourra pas participer au bug bounty : la ministre a ainsi expliqué que ce seront les membres de la réserve opérationnelle cyber, qualifiés de hackers éthiques, qui « pourront se lancer à la recherche des failles ». Cette réserve compte 400 membres opérationnels et 4 000 réservistes issus de la société civile.
Des hackers éthiques pourront se lancer à la recherche des failles dans nos systèmes
« Cette réserve a pour vocation à intervenir principalement non seulement sur les réseaux du ministère de la Défense mais également au profit des opérateurs d’importance vitale, des administrations et de leurs sous-traitants. Une minorité des réservistes sera identifiée et habilitée pour pouvoir intervenir sur des réseaux classifiés et sensibles », détaille le gouvernement.
Pour Yes We Hack, cette approche est une approche intéressante pour « animer » cette réserve opérationnelle — comprendre pour l’occuper et lui donner une activité utile à faire. « À terme, la récurrence de ce type d’exercice permettra d’entraîner les réservistes et de les faire monter en compétences pour augmenter significativement et durablement le niveau de sécurité du ministère », ajoute la startup.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !