Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : la Société Générale valide l'approche "bug bounty"

Twitter Facebook Linkedin Google + Email
×

La Société Générale muscle sa défense pour faire face aux cyberattaques de plus en plus nombreuses. En plus d'outils et de méthodes de travail classiques, elle a initié depuis quelques mois des campagnes de bug bounty. La banque de la Défense fait ainsi appel à une communauté de chercheurs pour détecter des failles de sécurité informatique en échange de primes. Une méthode encore peu courante dans l'Hexagone.

Cybersécurité : la Société Générale valide l'approche bug bounty
Xavier Lofficial est le directeur de la transformation processus et systèmes d'information du groupe Société Générale. © Société Générale

La menace en matière cyber n'a jamais été aussi forte. Rien que sur l'année 2017, l'agence nationale pour la sécurité des systèmes d'information (Anssi) a traité 20 incidents majeurs, dont trois crises, rapportent nos confrères de L'Usine Nouvelle. L'industrie financière n'échappe pas à cette tendance de fond. Pour faire face aux attaques informatiques de plus en plus nombreuses, la Société Générale muscle sa défense.

 

La chasse aux failles informatiques

La banque disposait déjà d'un Centre d'alerte et de réaction aux attaques informatiques (Cert) et d'un Centre opérationnel de sécurité (Soc). Elle réalise régulièrement des tests de pénétration, "des pen tests" dans le jargon, et des revues de code. Depuis quelques mois, elle s'est aussi lancée dans le bug bounty. Très prisée par les entreprises américaines mais beaucoup plus confidentielle en Europe, cette méthode consiste à faire appel à une communauté de chercheurs, qu’on appelle les "hackers blancs" ou "hunters" (chasseurs en français), pour détecter des failles informatiques dans le cadre d’un programme bien défini. Les hunters sont ensuite rémunérés à la faille détectée.

 

Trois plates-formes françaises

En France, trois start-up veulent démocratiser la pratique du bug bounty : YogoshaBounty Factory et Bug Bounty Zone. Chacune a mis en place une plate-forme qui regroupe une communauté de "chasseurs", souvent recrutés par cooptation.

 

 "Le bug bounty est un moyen innovant que nous utilisons depuis un peu plus de six mois. Il ne vient pas remplacer les solutions existantes mais les compléter", précise d'emblée Xavier Lofficial, directeur de la transformation, processus et des systèmes d'information pour le groupe. Selon lui, la méthode du bug bounty apporte plusieurs avantages par rapport à des process plus classiques. "Un test d'intrusion consiste à faire un scan automatique de nos infrastructures pour y trouver des failles. Avec le bug bounty, des experts vont pouvoir travailler sur des temps longs et amener un regard neuf", explique-t-il.

 

Pas de bug critique

Avec son partenaire, dont l'identité n'a pas été révélée, la Société Générale a établi un périmètre de recherche bien précis, une grille de primes, un groupe de hunters et une période de campagne. "Nos programmes de bug bounty concernent uniquement des systèmes d'information visibles de l'extérieur et non transactionnels, précise Xavier Lofficial. Cela peut être des sites web d'informations". Quant à la grille de rémunération, là encore l'établissement bancaire reste discret. "Les montants sont déterminés en fonction du niveau de criticité du bug. D'une manière générale, cela va de quelques dizaines d'euros jusqu'à des dizaines de milliers d'euros. Nous travaillons avec notre partenaire pour définir le montant adapté pour que les hunters enregistrés travaillent sur notre cas", se contente d'indiquer Xavier Lofficial.

 

Les premiers pas de la Société Générale se sont révélés concluants. "Nos premiers tests confirment que cette approche innovante est positive. A l'issu des quelques campagnes que nous avons lancées depuis 2017, aucun bug critique n'a été identifié. En revanche, les campagnes ont permis de détecter des bugs de bas et de moyen niveau", détaille-t-il. La Société Générale entend donc poursuivre ces campagnes de bug bounty mais toujours en les limitant à ses sites non transactionnels.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale