Les programmes de primes aux bogues deviennent de plus en plus populaires parmi les entreprises du monde entier. Bien qu’une défense suffisante en matière de cybersécurité soit toujours une autorité pour toutes les entreprises, les programmes de primes de bogues aident les entreprises à trouver des vulnérabilités dans leur système qui peuvent ne pas être découvertes par les services de cybersécurité.
En réalité, la plate-forme de bug bounty YesWeHack a signalé que sa communauté de hackers éthiques (généralement identifiés comme des « hackers chapeau blanc ») a en fait augmenté des trois quarts pour atteindre plus de 35 000 hackers fonctionnant actuellement sur la plate-forme. En règle générale, YesWeHack compte environ 1200 à 1300 chercheurs qui les rejoignent chaque mois. L’évolution des bénéfices a également doublé en Europe, l’Asie progressant de 200 %.
Au cours des 12 dernières mois, YesWeHack a gardé à l’esprit un doublement du nombre de bugs déterminés par ses hackers. Parmi ceux-ci, 35 % ont été jugés « vitaux » ou « élevés », ce qui implique que de nombreux systèmes et applications d’entreprise auraient pu être considérablement affectés si ces bogues n’avaient pas été détectés et corrigés.
Le nombre et l’impact croissants de les vulnérabilités découvertes en 2021 telles que SolarWinds et Log4J ont en fait conduit les entreprises à amplifier leurs investissements dans la sécurité participative. En 2021, l’agrégateur en ligne FireBounty.com, créé par YesWeHack, comptait au total près de 24 000 politiques de divulgation de vulnérabilités.
En termes de type de vulnérabilités identifiées, de défauts d’implémentation et de conception (Secure Style, Gain access à Control) restent le principal type de bugs pour la deuxième année consécutive. Cette tendance peut être discutée par la complexité croissante des applications déployées.
Adoption de bug bounty par secteur
L’adoption de programmes de bug bounty continue de croître à travers un certain nombre d’industries avec YesWeHack voient une augmentation de 100% de la variété des programmes actifs disponibles sur sa plateforme. Est-ce vraiment la meilleure méthode pour les entreprises de découvrir les vulnérabilités et les points faibles de leurs systèmes ?
Pour YesWeHack, le secteur de la technologie représente 44 % de tous les programmes sur leur plateforme, suivi du secteur des services financiers et de la couverture d’assurance , qui représentaient 18 % de tous les programmes de primes de bugs sur la plate-forme en 2021.
Dans le même temps, il est également essentiel de noter que ces secteurs sont ceux qui nécessitent la sécurité la plus stricte en matière de cybersécurité. Le secteur de la technologie traite beaucoup d’informations et continue d’être fortement ciblé par les cybercriminels. Les secteurs des services monétaires et de la couverture d’assurance doivent respecter une réglementation stricte, ce qui explique probablement pourquoi ils recherchent activement des services de primes de bogues.
Alors que la pandémie continue d’interrompre le monde, de nombreux autres secteurs ont ont également accéléré leur parcours d’amélioration numérique pour répondre aux exigences changeantes de leurs utilisateurs. Ceci est particulièrement approprié dans le secteur public, où de nombreuses administrations et collectivités locales continuent de numériser leurs services et ont d’ailleurs lancé pour cette raison des programmes de primes aux bugs pour protéger leurs informations.
Enregistrement sur bande année pour les récompenses de bug bounty
Avec le besoin croissant de programmes de bug bounty, les avantages pour les pirates éthiques ont également augmenté. Apple a récompensé 100 000 USD à un stagiaire en cybersécurité qui a découvert une vulnérabilité sur les webcams Mac.
Pendant ce temps, Intel applique une récompense de 12 mois aux récompenses de bug bounty sur certaines gammes de matériel et de micrologiciel, ce qui augmente le paiement plafond pour un grand nombre de bogues cruciaux de 100 000 $ US à 150 000 $ US. ExpressVPN a mis à jour son programme de primes de bogues pour le rendre plus attrayant pour les white hats– en utilisant maintenant une prime de bogue unique de 100 000 $ à quiconque peut compromettre ses systèmes.
YesWeHack a vu une augmentation de 140 % sur une année- croissance annuelle du montant total des récompenses versées aux pirates. En 2021, le plus gros paiement s’élevait à 40 000 euros. L’année dernière, YesWeHack a également lancé le programme public de bug bounty de vote électronique de la Poste Suisse, en utilisant la plus grande récompense de la plate-forme jamais disponible pour son voisinage de hackers à 230 000 EUR.
L’une des raisons de l’attrait croissant de YesWeHack, parmi les hackers éthiques et les clients, est son dévouement continu au bon fonctionnement et à la qualité efficace de ses programmes. Par exemple, en 2021, 78 % des vulnérabilités ont été récompensées dans les 24 heures suivant leur acceptation, tandis que 89 % ont été payées dans les 28 jours suivant la soumission et 60 % des vulnérabilités ont été corrigées dans un délai d’un mois.
La sécurité collaborative va continuer à se développer
Romain Lecoeuvre, CTO et co-fondateur de YesWeHack, avertit que la rapidité de la digitalisation provoquée par la pandémie ne doit pas conduire les entreprises à relâcher leurs efforts de sécurité. « De nombreux développeurs sont sous pression pour fournir des applications le plus rapidement possible afin de conserver ou d’acquérir un avantage concurrentiel. En conséquence, la rapidité est privilégiée par rapport à la sécurité. Pour cette raison, les groupes d’avancement et de sécurité devraient fonctionner en tandem, avec l’aide de hackers éthiques, pour participer à une technique de type DevSecOps », a-t-il déclaré.
SÉCURITÉ
Pourquoi les hackers piratent-ils ? Ce n’est pas simplement pour l’argent
Pour Guillaume Vassault-Houlière, PDG et co-fondateur de YesWeHack, la sécurité collaborative est une formidable méthode pour les entreprises d’entrer en conformité avec la confidentialité des données . « Au fil des ans, le public a fini par être de plus en plus conscient de la manière de sécuriser ses informations. Dans un souci d’ouverture, de nombreuses organisations font désormais affaire avec des pirates informatiques éthiques pour trouver des vulnérabilités dans leurs systèmes et offrir des assurances à leurs utilisateurs.
« Il ne fait aucun doute que l’accès non autorisé à des informations personnelles fait partie des principaux dangers identifiés dans les programmes proposés sur notre plate-forme et a traditionnellement fourni les meilleures récompenses.Dans ce contexte, la sécurité participative est non seulement la méthode la plus efficace pour découvrir des vulnérabilités dans le code, mais aussi pour rassurer les consommateurs sur la sécurité d’un service ou d’un produit et la sécurité personnelle. confidentialité de leurs données », commente Vassault-Houlière.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
