La chasse aux vulnérabilités est loin d'être un travail de tout repos. Cela demande effectivement du temps, des ressources et un investissement que de nombreux organismes, en particulier les associations à but non lucratif, ne peuvent pas s'offrir. Pourtant, leur niveau d'exposition aux cyber-risques est tout aussi élevé que pour d'autres entreprises et organisations. Surtout dans un contexte où les cyberpirates arrosent tous azimuts et n'hésitent pas à s'en prendre à elles par pur opportunisme.
Pour les aider, ManaMano, l'enseigne e-commerce spécialisée dans la vente de produits de bricolage, jardinage et pour la maison s'est associée à Yogosha, spécialiste du bug bounty et des services en cybersécurité. Le but ? Proposer aux associations, au travers du programme Hack4values, d'accéder gratuitement à des hackers éthiques en vue de les aider à identifier et combler leurs vulnérabilités. « C'est une initiative en ligne avec notre stratégie cyber qui s'appuie sur un ADN très fort de sécurité offensive avec une équipe de hackers éthiques et de pentesteurs », nous a expliqué Fabien Lemarchand, RSSI de ManoMano.
Des failles importantes déjà trouvées
Contrairement à d'autres entreprises non « digital native », ManoMano a dès le départ construit ses services autour d'une cybersécurité offensive et également du bug bounty. « Nous travaillons avec Yogosha depuis deux ans pour élever le niveau de connaissance cyber avec une forte volonté d'aider la communauté », poursuit Fabien Lemarchand. « On a voulu s'investir et démocratiser le bug bounty à un niveau solidaire, en aidant les associations qui ont des missions de terrain pour soutenir des causes et par extension partager notre culture et notre expertise cyber ».
Créée à l'initiative de ManoMano et de Yogosha mais aussi de Communication Sans frontières, la plateforme de bug bounty Hack4values est gratuite. Disponible depuis quelques mois, elle mobilise des hackers éthiques des deux structures pour aider les associations à trouver et chasser leurs failles. A ce jour, elle est utilisée par Amnesty International et le service de pétition en ligne Web Sign It. « On en a trouvé certaines importantes », annonce Fabien Lemarchand, qui assure participer à ce programme à seul fin d'entraide. « L'idée a été de créer un espace de travail pour les hackers éthiques qui leur permettent de travailler dans un cadre légal sans se faire attaquer et traduire en justice comme cela arrive parfois », explique de son coté Yassir Kazar, directeur général et cofondateur de Yogosha.
Une plateforme qui vise à s'étendre
La plateforme Hack4values n'a pas vocation d'être exclusive entre ManoMano et Yogosha. Au contraire même puisque les deux sociétés espèrent être rejoints par d'autres organismes afin d'en faire un véritable « groupement ». Voire d'étendre la collaboration entre hackers éthiques et les associations à l'international en vue de proposer une approche structurée de la découverte de bugs pour les organisations ayant les moins de ressources. A ce jour, ManoMano mobilise 6 personnes en interne dans le hack éthique pour Hack4values, tandis que chez Yogosha, pas moins de 20 hackers sont investis dans la plateforme. Et ce n'est qu'un début : « on va ouvrir à un éventail plus large de hackers », annonce Yassir Kazar. Pour le RSSI de ManoMano, la capacité à s'investir dans Hack4values en particulier et le hack éthique en général fait même partie de la fiche de poste pour intégrer l'équipe cybersécurité du groupe. Une distinction assez rare pour être signalée.
Commentaire