A l’occasion de la présentation de ses nouveaux locaux (ci-dessus), situés à La Défense, l’activité cybersécurité de Wavestone a levé le voile sur une nouvelle offre à mi-chemin entre l’audit de sécurité et le Bug Bounty, ces concours de recherche de failles ouverts aux chercheurs indépendants et souvent associés à des récompenses financières. Le cabinet de conseil, fruit de la fusion de Solucom et de Kurt Salmon (2500 personnes dont 400 spécialistes de cybersécurité), a en réalité imaginé une forme privatisée de Bug Bounty, au sein de laquelle la recherche de failles est effectuée par, et uniquement par, les spécialistes de l’audit de sécurité du cabinet, soit une quarantaine d’experts.
Pour Yann Filliat, le responsable du département audit de sécurité de Wavestone, la naissance de cette offre part d’un constat : « Le Bug Bounty présente de nombreux intérêts pour les entreprises : l’accès à une communauté de chercheurs, l’absence de dépense si aucune faille n’est décelée, la possibilité de réaliser une opération à la carte ou encore la valorisation de la sécurité au sein des organisations, par exemple en refacturant le coût des failles découvertes aux équipes projet. Mais ce mode de chasse aux vulnérabilités soulève aussi de nombreuses questions au sein des entreprises : qui va auditer mon site ? ; quelle garantie ai-je que mon site soit effectivement testé ? ; quel est le niveau de confidentialité offert par rapport aux failles découvertes ? ; quid de la qualité de la documentation ?, etc. »
C’est en partant de ce constat mi-chèvre mi-chou que Wavestone a décidé de « tordre un peu le modèle du Bug Bounty », selon l’expression de Gérôme Billois, senior manager en gestion des risques et sécurité chez Wavestone. Avec donc un concours de recherche de failles réservé aux seuls auditeurs du cabinet de conseil, mais aussi une garantie de réalisation, avec des experts dûment affectés aux missions. « Par contre, la facturation repose bien sur le nombre de failles mises en évidence », explique Yann Filliat. En plus d’un ticket d’entrée d’environ un millier d’euros, le client s’acquitte de quelques centaines à quelques milliers d’euros par vulnérabilité découverte ; le tarif unitaire dépendant de la gravité de la lacune. C’est le client qui définit évidemment la cible des recherches (l’offre de Wavestone est aujourd’hui avant tout taillée pour les sites Internet), mais aussi la durée de l’étude et le budget maximal.
A lire aussi :
Bug Bounty : les chasseurs de bug cèdent-ils à la facilité ?
Google généreux pour une zero day sur Android Nougat
Une faille zero day sur iOS 9 vaut 500 000 dollars
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
