« Nous venons du PenTest et nous en faisons encore, c’est nécessaire. Nous faisons fonctionner Pentest et Bug Bounty en tandem.
Quand nous avons une application qui consiste en un front qui appelle des API, le Pentester va être capable de tester une API enfouie dans le système d’information et qui n’est pas accessible depuis Internet et remonter des vulnérabilités techniques.
Le Hunter n’a accès qu’au front, mais s’il arrive à exploiter toute la chaine jusqu’à une API fautive, alors il peut faire apparaître les erreurs d’architecture, les erreurs de process, etc. C’est sur ces points que le hunter a sa plus forte valeur ajoutée.
Au niveau du cycle de vie des applications, le Pentest est aligné avec le calendrier de release. On sait à quelle date doit être lancée une grosse mise à jour et on peut lancer un PenTest en phase d’UAT (User Acceptance Testing / tests de validation utilisateur). Il est alors possible de prévoir de la capacité pour corriger.
Le Bug Bounty se conçoit plutôt comme du test en continu, en marge du calendrier de release, le Hunter peut opérer à n’importe quel moment. »
—–
« Nous réalisions des exercices de sécurité, mais qui n’étaient jamais totalement réalistes. Nous avons lancé l’idée de faire un test de confinement réel, isoler Hydro-Québec du reste du monde.
Nous avons retenu un scénario de type sabotage dans lequel un acteur malveillant tente de prendre le contrôle du réseau électrique depuis l’extérieur. Nous avons totalement coupé Internet pendant 4 heures.
Ce sont plus de 500 personnes qui ont été impactées, avec des applications info-nuageuses comme SAP qui ont été coupées, ou encore les tablettes des monteurs de lignes.
Tout a été coupé, nous étions aveugles sur le terrain, le SI ne fonctionnait pas, nous étions isolés du monde. L’électricité continuait de fonctionner, mais nous avons pu constater l’effort fait ces dernières années pour aller vers l’informatique nuagique. Plus de 1 200 applications ont été impactées.
Le post-mortem de cet exercice a montré l’importance de la décision et des arbres de décisions. Quand survient une cyberattaque, il ne faut pas avoir à organiser un comité pour décider ce qui doit être confiné ou pas, qui a le droit d’autoriser le confinement, etc. Il ne faut pas perdre une heure à prendre ce type de décision.
Notre objectif est aujourd’hui d’aller au-delà des 4 heures de confinement. Nous allons faire d’autres tests. Mon rêve est d’avoir un bouton qui nous permettrait de nous confiner en quelques secondes. »
Propos recueillis par Alain Clapaud
Pour aller plus loin :
Pourquoi il est temps d’aller vers la cyber offensive
Cloud, Darknet, Pen tests … Comment j’ai transformé mon approche de la cybersécurité
Bug Bounty : quelle place dans une politique cyber ?
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
