Les bug bounty sont monnaie courante dans les grands groupes. Au sein de SNCF Connect&Tech, la filiale de SNCF Voyageurs spécialisée dans la fourniture de multiples services numériques (agence de voyage, ventes de billets, réservation de moyens de transports...), il existe depuis 6 ans en mode privé opéré par le fournisseur français YesWeHack. Depuis sa création, 300 chercheurs ont été ainsi mobilisés pour trouver des failles de sécurité dans ses services, mais désormais le groupe va plus loin en ouvrant au public son programme de chasse aux bugs. "Depuis 6 ans des fonctions ont été rajoutées avec un rythme d’une mise en production par semaine et nous avons beaucoup travaillé pour aller vers le devsecops, moderniser nos applications, passer sur le cloud, mais là nous franchissons un pas pour aller chercher encore plus de chercheurs spécialisés dans la technique et le fonctionnel", nous a expliqué Francis Bergey, RSSI de SNCF Connect&Tech.
L'approche de la filiale du groupe de transport de voyageurs est également opportuniste, à l'heure où l'ouverture des JO de Paris 2024 se profile dans quelques mois et que les agences et organismes de sécurité de tout bord (Anssi, Clusif...) multiplient dans ce contexte les alertes sur les risques grandissant en matière de cybermenaces. Le programme de bug bounty public de SNCF Connect&Tech sera donc ouvert 3 mois, jusqu'à fin juin 2024, avant d'être - a priori momentanément - éteint pendant la période des Jeux. "L'ouverture du bug bounty au public nous permettra d'être sûr d'être bien au niveau et regarder la sécurité sous tous ses angles", poursuit Francis Bergey. "C'est très intéressant d'avoir ce test grandeur nature avant les JO".
"Nous avons vraiment travaillé avec YesWeHack pour être fair-play avec les chercheurs et bien les rémunérer pour les failles trouvées", indique Francis Bergey RSSI de SNCF Connect&Tech à propos du lancement du bug bounty public. (crédit : D.F.)
Jusqu'à 10 000€ pour les failles les plus critiques
Avec ce programme, SNCF Connect&Tech espère donc faire remonter les failles les plus à même de perturber ses services et applications pour tester en continu ses release hebdomadaires. "Cela nous permet de faire appel à l’intelligence collective, d’élargir le champ des possibles et les angles de recherche de vulnérabilités potentielles pour réévaluer les nouveautés en continu", assure Francis Bergey. Concernant les profils des personnes sélectionnées pour chasser les failles, SNCF Connect&Tech se repose sur l'expertise de YesWeHack pour encadrer son programme, tant en termes technique que juridique.
Concernant les failles qui seront remontées, le groupe précise que les attaques par déni de service sont exclues, tout comme celles passant par la récupération d'identifiants (login/mots de passe) en provenance du dark web. "Nous avons vraiment travaillé avec YesWeHack pour être fair-play avec les chercheurs et bien les rémunérer pour les failles trouvées", indique Francis Bergey. Ainsi, pour celles débouchant sur de la prise de contrôle de tout ou partie d'un de ses sites ou d'extraire massivement des données personnelles, la rémunération atteindra 10 000€. Ensuite, plusieurs paliers sont prévus (500€, 2 000€...) en fonction de la criticité des failles présentées. "Nous réévaluons systématiquement les failles de sécurité remontées par les chercheurs. Si la faille permet d’aller un cran plus loin, on la rémunérera mieux et inversement notamment si des mesures complémentaires invisibles de l’extérieur permettent d’en limiter la portée.".
Commentaire