Pour éprouver la qualité de la sécurité de son SI, la pratique du test d'intrusion constitue sans doute la voie royale. Pour en effectuer sans supervision limitative, le recours à des hackers éthiques rémunérés à la faille découverte est la manière la plus radicale. Mais une majorité de RSSI sont plus que réticents à cette pratique. Ainsi, selon une étude réalisée par HackerOne à partir d'une enquête menée par Opinion Matters, 51 % des RSSI français préféreraient courir le risque d'avoir des vulnérabilités dans leur système plutôt que d'inviter des hackers inconnus à les trouver. Leurs confrères allemands et britanniques sont plus encore réticents avec respectivement 59% et 62% refusant également le test par des inconnus. La moyenne sur les trois pays est ainsi de 57%.
Pourtant, 87% des répondants en France et 86 % en moyenne en Europe admettent que les craintes en matière de sécurité entravent l'innovation numérique. 83% des RSSI européens (90% au Royaume-Uni, 88 % en France et 80% en Allemagne) assurent ainsi que les failles logicielles constituent une menace sérieuse pour leur organisation. Mais cela n'empêche pas la gestion de la sécurité d'être globalement préoccupante. 64% des RSSI européens (68% en France, 63% au Royaume-Uni et 60% en Allemagne) se plaignent d'effectifs insuffisants pour suivre le rythme des évolutions de leur organisation. 48% des RSSI européens (46% en France) estiment aussi qu'ils passent trop de temps à chercher les failles logicielles. 26% des RSSI européens se plaignent d'un budget insuffisant pour mener à bien un programme de sécurité offensive (17% en France, 22% au Royaume-Uni, 32% en Allemagne). Et 35% des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30% en France, 34% au Royaume-Uni et 40% en Allemagne).
Le hacker vu comme une menace et non une solution
Côté résultats, 45% des RSSI européens (65% au Royaume-Uni, 39% en Allemagne et 30% en France) jugent que les tests d'intrusion ne fournissent pas des résultats à la hauteur des attentes. Mais recourir à des hackers extérieurs suscite des craintes et des réticences importantes. Seuls 26% des RSSI européens se sentent ainsi prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17% au Royaume-Uni, 23% en France, 36% en Allemagne), ce score augmentant considérablement (jusqu'à 40% en France) si les hackers sont certifiés.
Au niveau européen, 54% des RSSI ne sont pas à l'aise à l'idée de collaborer avec des hackers ayant un passé criminel. Les Français sont les moins regardants (44%), bien moins que leurs confrères allemands (55%) ou britannique (62%).