Bug Bounty : les six arguments pour convaincre votre direction juridique

Jusque-là, tout allait bien. Le principe de faire appel à des hackers éthiques, dans le cadre d’une démarche de Bug Bounty avait fait l’unanimité : le RSSI, le DSI les responsables métiers, les développeurs, la direction des achats… et même le directeur financier. Toutes les entités concernées étaient intimement convaincues que la démarche allait améliorer le niveau de sécurité des applications et des architectures. Toutes ? Sauf une : la direction juridique qui estimait qu’un hacker accédant au système d’information de l’entreprise présente, par définition, un risque.

 

Comment débloquer la situation, face aux objections que les directions juridiques sont susceptibles d’exprimer vis-à-vis d’une démarche de Bug Bounty les plus courantes ?

 

1. Communiquez par l’exemple sur les enjeux de combler au plus vite les failles de sécurité.

Les cas de failles de sécurité ayant abouti à des vols de données, y compris personnelles ne manquent pas. Dans son panorama de la cybercriminalité, le Clusif (Club de la sécurité de l’information français) rappelle qu’une cinquantaine de grands acteurs en ont été victimes en 2019, de Facebook et Toyota à GitHub et Capital One (106 millions de clients concernés), en passant par Burger King, Nintendo, Microsoft et, en France, Altran, Ramsay Générale de Santé, M6, le CHU de Rouen, Fleury-Michon… Avec des pénalités financières très significatives : Equifax, victime en 2018, a payé 700 millions de dollars, les Hôtels Marriott 123 millions de dollars et British Airways 183 millions de livres. Chaque entreprise victime de failles a engagé sa responsabilité, qui aurait été moins grave si les brèches de sécurité avaient été découvertes et comblées plus tôt. L’investissement dans une démarche de Bug Bounty est sans commune mesure avec le non-investissement. 

2. Mettez en exergue la chaîne de responsabilités de bout en bout.

En cas d’intrusion, via une faille qui aurait pu être identifiée en amont, les responsabilités seront toujours partagées : la DSI ou le RSSI ne seront pas les seuls à les assumer, la direction générale sera également concernée, de même que la direction juridique, pour avoir privilégié ses intérêts à court terme (la tranquillité d’esprit et l’application stricte d’un principe de précaution) au détriment des impacts financiers et en terme d’image : est-elle vraiment prête à courir ce risque ? 

3. Affirmez que l’idée selon laquelle « les hackers ne peuvent jamais avoir d’éthique » est un mythe.

La crainte que les hackers soient tentés d’exploiter les failles découvertes à leur profit perdure. En réalité, certaines plateformes de Bug Bounty adoptent un modèle privé et sélectionnent de façon rigoureuse les hackers qui interviennent : l’identité de chacun est vérifiée, et les chercheurs de Bugs sont contraints de passer des tests afin de valider leurs compétences techniques et pédagogiques : sur la plateforme Yogosha par exemple, seul un sur quatre réussit à franchir cette étape. Mais un directeur juridique peut-il sérieusement courir le risque qu’une faille soit exploitée par un hacker venu de nulle part, alors qu’elle aurait pu être découverte très en amont et éliminée ? 

4. Rappelez que vos équipes sécurité et IT ne peuvent pas tout connaître. 

L’objection selon laquelle il est préférable de confier la recherche opérationnelle de failles aux équipes internes se heurte à deux difficultés : d’une part, le temps qu’il faut y consacrer (rechercher des failles se fait au détriment d’autres tâches) et, d’autre part, cela nécessite la connaissance approfondie de toutes les architectures, de tous les systèmes d’exploitation, réseaux, terminaux fixes et mobiles, langages de développement et protocoles susceptible de présenter des failles. Autant dire qu’il faut être un surhomme pour ingurgiter/exploiter une telle masse d’informations. Certes, vos équipes sécurité disposent d’excellentes compétences, mais quoi de mieux que de faire appel à hackers éthiques qui ont l’expérience de la découverte des failles, de la façon de les repérer, de les exploiter et de les combler ? 

5. Insistez sur le strict cadrage contractuel. 

L’intervention de chercheurs de failles fait l’objet de contrats qui, comme le savent tous les juristes, engagent les parties qui le signent. Et dont les clauses peuvent être discutées. C’est un élément essentiel pour assurer la confiance. Un directeur juridique peut-il douter de la force d’engagement d’un contrat ? En principe, non… 

6. Même les plus entreprises et organisations les prudentes ont confiance dans les atouts du Bug Bounty.

L’approche Bug Bounty n’est plus l’apanage, comme elle a pu être considérée par le passé, de quelques geeks en compétition pour savoir celui qui découvrira le plus vite les failles de sécurité. Elle s’institutionnalise, se normalise et se fédère autour d’acteurs professionnels. A qui même des entreprises et organisations qui n’ont vraiment pas une réputation de laxisme en matière de sécurité, accordent leur confiance. C’est le cas, par exemple, du groupe Thalès pour sécuriser ses produits, de la plateforme de e-commerce Cdiscount pour sécuriser les données de ses neuf millions de clients, sans oublier les pouvoirs publics, pour tester la sécurité de la nouvelle plateforme dédiée à l’assistance aux victimes de cyberattaques (cybermalveillance.gouv.fr). Des entreprises comme Bouygues Telecom, BNP Paribas, Galeries Lafayette, ou encore Swiss Life et Veolia sont également devenues des adeptes du Bug Bounty. En outre, les plateformes de Bug Bounty bénéficient de la confiance des investisseurs et des institutionnels : Yogosha a levé deux millions d’euros début 2020, après avoir obtenu le Grand Prix de l’Innovation de la Ville de Paris et le Prix spécial du jury au FIC 2019 (Forum International de la Cybersécurité).