Wavestone tente de privatiser le Bug Bounty
A l'occasion de la présentation de ses nouveaux locaux (ci-dessus), situés à La Défense, l'activité cybersécurité de Wavestone a levé le voile sur une nouvelle offre à mi-chemin entre l'audit de sécurité et le Bug Bounty, ces concours de recherche de failles ouverts aux chercheurs indépendants et souvent associés à des récompenses financières. Le cabinet de conseil, fruit de la fusion de Solucom et de Kurt Salmon (2500 personnes dont 400 spécialistes de cybersécurité), a en réalité imaginé une forme privatisée de Bug Bounty, au sein de laquelle la recherche de failles est effectuée par, et uniquement par, les spécialistes de l'audit de sécurité du cabinet, soit une quarantaine d'experts.
Pour Yann Filliat, le responsable du département audit de sécurité de Wavestone, la naissance de cette offre part d'un constat : « Le Bug Bounty présente de nombreux intérêts pour les entreprises : l'accès à une communauté de chercheurs, l'absence de dépense si aucune faille n'est décelée, la possibilité de réaliser une opération à la carte ou encore la valorisation de la sécurité au sein des organisations, par exemple en refacturant le coût des failles découvertes aux équipes projet. Mais ce mode de chasse aux vulnérabilités soulève aussi de nombreuses questions au sein des entreprises : qui va auditer mon site ? ; quelle garantie ai-je que mon site soit effectivement testé ? ; quel est le niveau de confidentialité offert par rapport aux failles découvertes ? ; quid de la qualité de la documentation ?, etc. »
« Tordre le modèle du Bug Bounty »
C'est en partant de ce constat mi-chèvre mi-chou que Wavestone a décidé de « tordre un peu le modèle du Bug Bounty », selon l'expression de Gérôme Billois, senior manager en gestion des risques et sécurité chez Wavestone. Avec donc un concours de recherche de failles réservé aux seuls auditeurs du cabinet de conseil, mais aussi une garantie de réalisation, avec des experts dûment affectés aux missions. « Par contre, la facturation repose bien sur le nombre de failles mises en évidence », explique Yann Filliat. En plus d'un ticket d'entrée d'environ un millier d'euros, le client s'acquitte de quelques centaines à quelques milliers d'euros par vulnérabilité découverte ; le tarif unitaire dépendant de la gravité de la lacune. C'est le client qui définit évidemment la cible des recherches (l'offre de Wavestone est aujourd'hui avant tout taillée pour les sites Internet), mais aussi la durée de l'étude et le budget maximal.
« Nous ne recommandons pas le Bug Bounty à un client affichant un niveau de sécurité moyen. C'est plus une offre cerise sur le gâteau, qui vient après un audit classique », détaille Gérôme Billois, qui assure que ce service n'est pas concurrent des plateformes spécialisées (comme Bounty Factory ou Yogosha). Le Bug Bounty privé de Wavestone est pour l'heure en bêta, et sera encore en rodage pendant au moins un trimestre, indique le cabinet de conseil.
A lire aussi :
Bug Bounty : les chasseurs de bug cèdent-ils à la facilité ?
Google généreux pour une zero day sur Android Nougat
Une faille zero day sur iOS 9 vaut 500 000 dollars
Sur le même thème
Voir tous les articles Cybersécurité