En cette période en actualité soutenue de cyberattaques, Maddyness a décidé de poursuivre la mise en avant de solutions françaises d’info-sécurité. Cap, cette fois-ci, sur le Bug Bounty, cette récompense offerte par une société à tous ceux qui réussissent à trouver des failles de sécurité dans son fonctionnement.
Nous avions eu l’occasion de dresser un panorama des plateformes françaises. Le concept est désormais connu : faire appel à une plateforme qui fédère une communauté de hackers éthiques en info-sécurité pour tester une production (application métier, API, site web, infrastructure, etc.). Ces whitehats ne seront récompensés, dans le cadre d’un programme, qu’à la découverte d’une vulnérabilité avérée et documentée, avec une rémunération liée au niveau de criticité. Dans la continuité, nous avons cherché à décrypter un cycle de collaboration entre un éditeur de logiciel avec l’une de ses plateformes. Retour d’expérience entre PeopleDoc et Yogosha.
En à peine dix ans, l’éditeur SaaS PeopleDoc s’est imposé comme un acteur mondial de la dématérialisation RH. De fait, PeopleDoc manipule un grand nombre de données sensibles et personnelles de salariés. Très logiquement, PeopleDoc prend très à cœur la sécurisation de ces données, tout comme ses clients grands comptes qui l’auditent régulièrement.
“On se fait pentester pratiquement tous les mois, c’est systématique avec les grands comptes, qui ont pris la mesure des enjeux induits par le cloud” explique Yann Perchec, CTO de PeopleDoc. “Mais nous avons vite été confronté aux limites de l’audit de sécurité classique, qui n’est pas adapté à un processus de livraison en continu” poursuit-il. Le pentest repose en effet sur une logique de conseil ponctuel avec des moyens, une durée et une variété de compétences limités. Il s’avère utile pour cartographier son système d’information, mais limitant pour une sécurisation en continu. “Du coup, nous avons commencé à regarder les solutions très offensives, afin d’avoir une meilleure continuité, et surtout travailler avec des hackers rompus à ce genre d’exercice”.
C’est Yogosha que PeopleDoc a retenu après avoir comparé les différentes plateformes du marché : “Nous voulions une plateforme privée qui recrute selon un processus scrupuleux des chercheurs de talent et parfaitement identifiés, plutôt que d’accepter tous ceux qui en font la demande. Cela rassure nos clients quand on les informe que nous collaborons avec des hackers éthiques, et qu’on connaît chacun d’entre eux individuellement. C’est un argument de vente qui pèse”.
Si au départ, une certaine appréhension subsistait, elle a vite été balayée : “les chercheurs de la plateforme sont cordiaux et ça se passe bien. C’était une de mes craintes, pour être honnête, quand on a commencé !” confie Yann Perchec. Yogosha a ainsi aidé à définir un premier périmètre de production à tester et un mode opératoire de collaboration. Chez PeopleDoc, c’est la cellule “DevSec” qui pilote le Bug Bounty, évangélise les développeurs, les aide à faire du développement sécurisé, et fait l’intermédiaire avec les différents prestataires d’infosécurité. Le programme a ainsi permis de déployer une politique de sécurité intégrée aux processus itératifs et automatisés de continuous release. “Pari réussi annonce Yann” : des failles remontées par le programme étaient jusqu’ici passées inaperçues lors de précédents pentests. A noter que l’interaction avec les équipes de chercheurs sur les rapports de vulnérabilités parfaitement documentés ont permis de faire monter en compétence les équipes de PeopleDoc sur l’info-sécurité. “Chez PeopleDoc, nous mettons la sécurité au centre de la table. Nous n’appréhendons pas la sécurité comme une contrainte subie, mais comme un apport de valeur business et un avantage concurrentiel”. Cet élan a d’ailleurs été récompensé par l’obtention de la certification ISO / IEC 27001 en Mars dernier.
Le conseil de PeopleDoc aux éditeurs de logiciel ? “Il faut intégrer très tôt une démarche d’info-sécurité, car sans cela les enjeux peuvent être très rapidement de taille”. La suite de la collaboration avec Yogosha ? Etendre le périmètre du Bug Bounty à de nouvelles applications développées et basculer sur du Bug Bounty en continu.
Comment en savoir plus sur ces programmes ? Yogosha interviendra sur une conférence sur le Bug Bounty à l’occasion du Web2Day le mercredi 7 Juin.