Par Russell Coleman, Directeur des ventes EMEA HackerOne
Le risque est un mal nécessaire du cycle de développement produit. En tant qu’entreprise, il faut ainsi constamment rechercher un équilibre entre innover, en créant de nouvelles expériences pour les clients, et garantir leur sécurité, en veillant à ce que les nouvelles solutions ne présentent pas de failles majeures. Mais comment trouver ce juste équilibre entre risque de cybersécurité et risque de stagner sur un marché qui évolue rapidement ? Pour pallier ce dilemme, les RSSI hésitent aujourd’hui de moins en moins à travailler avec des chercheurs tiers en cybersécurité afin de parfaire leurs compétences, combler parfois un manque de ressources et optimiser la protection de leurs solutions en continu.
Ignorer le risque technologique rend une entreprise et ses clients vulnérables. En avoir peur, c’est stagner et créer un écart irrémédiable avec ses concurrents. Aucune de ces deux situations n’est idéale, d’où l’importance de trouver le bon équilibre. Pour cela, le concept même de risque doit être abordé sous de nouvelles perspectives. La dynamique risque/récompense d’une entreprise peut être réévaluée. En redéfinissant la façon dont on perçoit le risque, il est possible de se libérer de la peur des cybercriminels et de créer un modèle prévisible d’investissement dans la réduction des risques qui accélère la mise sur le marché.
Réévaluer le risque implique inévitablement un changement majeur de mentalité, et ce changement pour être efficace, doit être impulsé par des intervenants externes au département de la cybersécurité. Le plus souvent, les RSSI et les ingénieurs en sécurité n’interviennent qu’aux derniers stades du développement d’un produit pour s’assurer qu’il n’y ait pas de faille. Cette organisation en silo est néfaste. Accepter de réévaluer la dynamique de risque, c’est intégrer beaucoup plus tôt ces professionnels de la sécurité dans le cycle de développement produit pour leur donner un rôle plus stratégique.
Il y a cependant des limites. Certes l’équipe chargée de la sécurité est mieux placée pour mener ce type de programmes stratégiques et trouver un équilibre entre vitesse de déploiement et évaluation des risques. Mais confrontée à un manque de ressources, l’équipe en interne ne peut pas tout gérer. En outre, les experts en cybersécurité ont souvent chacun un champ de compétences spécifique. Construire une équipe d’experts cumulant toutes les compétences n’est pas une sinécure, même pour les employeurs prêts à y mettre le prix.
Ce n’est pas pour rien qu’il existe aujourd’hui de véritables communautés actives de hackers éthiques. Des centaines de milliers de chercheurs en sécurité indépendants se mettent en ordre de bataille pour aider les entreprises à détecter des vulnérabilités au sein de leurs systèmes. La force du nombre et l’ampleur mondiale du phénomène font que ces hackers éthiques peuvent travailler collectivement 24/24 pour détecter les failles et les bugs de logiciels à n’importe quelle étape du cycle de développement produit. Le fait de rendre un rapport de vulnérabilité à l’équipe de développement dans les heures qui suivent la détection du bug minimise considérablement la fenêtre du risque.
Certains peuvent penser que le hacking éthique ne revient finalement qu’à remplacer un risque par un autre. Comment faire confiance à des individus tiers que l’on ne connaît pas et qui essaient de pénétrer dans votre système ? Il est vrai que les hackers éthiques les plus performants viennent souvent du côté obscur, avec un passé de cybercriminel. D’où l’importance de travailler avec des fournisseurs expérimentés et réputés qui concentrent les meilleures expertises pour optimiser à vitesse grand V la sécurité des systèmes informatiques des entreprises et de couvrir une surface d’attaque toujours plus grande sans compromettre les risques opérationnels ou juridiques.
Les plateformes de bug bounty les plus plébiscitées utilisent des systèmes de sélection transparents, des accès contrôlés et des mécanismes de réputation pour établir une relation de confiance mutuelle avec les hackers éthiques tout en étant conformes aux exigences légales. La perception à l’égard des hackers continue d’évoluer encore aujourd’hui, à mesure que de plus en plus d’entreprises s’ouvrent aux communautés de chercheurs en sécurité indépendants en leur donnant l’opportunité de tester la robustesse de leurs systèmes et de les améliorer. Les responsables de la sécurité pragmatiques savent que les cybercriminels n’attendent pas leur invitation – ils tentent déjà constamment de s’introduire dans les systèmes. La redéfinition de ce cyber-risque consiste en grande partie à intégrer que travailler avec les hackers que l’on connaît est la meilleure défense contre ceux que l’on ne connaît pas.
Finalement, avec l’émergence de la sécurité collaborative dans le paysage de la cybersécurité, la dynamique du risque évolue. Pour en tirer profit, le meilleur moyen est d’intégrer la dimension cybersécurité tout au long du cycle de développement produit et de s’appuyer sur les communautés existantes de hackers éthiques pour libérer des ressources en interne et réduire le temps de mise sur le marché.