A l’occasion d’un atelier aux Assises de la sécurité qui se déroule à Monaco, le spécialiste du bug bounty, Yogosha, a invité Henri Favreau, RSSI de Bouygues Telecom. Ce dernier est revenu sur son usage des programmes de recherches de vulnérabilités. « Nous avons démarré en 2017 en faisant un test sur l’espace client qui était la surface la plus exposée et les retours ont été positifs », se rappelle le dirigeant. A partir de là, une quinzaine de bug bounty ont été lancés « pour contrôler la sécurisation de nos sites, mais aussi sur des mises en services de sites ».
Le responsable voit plusieurs avantages à ces programmes. « La définition du périmètre est souple en excluant certaines techniques, comme par exemple le DDoS », indique Henri Favreau. L’agilité est aussi saluée, « on peut démarrer avec 3 à 4 chercheurs, puis s’il n’y a pas de retour on peut élargir à d’autres chercheurs, 10, 30, etc. », poursuit le responsable sécurité. Et la réactivité des hackers éthiques est très rapide, constate-t-il, « ça démarre très vite ! ». Sur la partie récompense, elle varie en fonction de la criticité des failles découvertes, « 1 000 euros pour les plus importantes, 800 euros pour les moyennes ». De plus, il est possible de choisir les hackers et le RSSI avoue privilégier « les chercheurs français et les clients Bouygues Telecom ».
Des points de vigilance et des évolutions attendues
Pour autant, il est impératif de garder des points de vigilance. « Face à la rapidité des réponses, il ne faut pas prévoir de lancer ce type de programme un vendredi soir », s’amuse le dirigeant. Il est donc nécessaire d’embarquer les équipes des sites concernées, mais aussi d’être capable de répondre rapidement aux rapports des hackers pour éviter les doublons. Par ailleurs, « la définition du périmètre est très important » et de se remémorer une anecdote, « nous avions mené une opération sur des sous URL d’un domaine, puis il y a une extension sur l’ensemble de Bouyguestelecom.fr, c’était open bar et on a vu plein de remontées y compris du shadow IT ».
Bouygues Telecom est donc convaincu des bienfaits du bug bounty, qui « reste complémentaire à d’autres moyens de recherches de failles, pentest, audit », observe Henri Favreau. Ces programmes vont être étendus et « même intégré via un security champion dans les équipes de DevOps ». Le RSSI attend aussi des évolutions de programmes de recherche de vulnérabilité. « Il y a un manque de visibilité sur le périmètre réellement audité, pour voir ce qu’on fait les hackers », glisse-t-il. Yogosha a apporté une réponse avec la mise en place prochaine d’un VPN pour avoir une vue de là où les hackers ont frappé ». De plus, des efforts sur la documentation et l’intégration dans les outils de développement comme Gitlab ou Jira des rapports des hackers sont attendus.