Free cookie consent management tool by TermsFeed
C'est pas mon idée !

dimanche 27 mai 2018

Société Générale ouvre la chasse aux bogues

Société Générale
Utilisés par les géants technologiques depuis des années, les programmes ouverts de chasse aux bogues sont rares parmi les institutions financières, malgré l'émergence d'un certain nombre d'entreprises spécialisées. En France, Société Générale fait figure de pionnière, même si l'initiative qu'elle a lancée il y a 6 mois reste timide.

Le principe est plein de bon sens : plutôt que d'attendre que des cybercriminels ou des personnes simplement malveillantes attaquent les sites web de la banque, pourquoi ne pas organiser la recherche des failles de sécurité, en faisant appel à des « chasseurs de primes », spécialistes patentés qui seront récompensés pour leurs découvertes ? Sur cette base, plusieurs plates-formes se sont créées au fil des ans (BugCrowd, SynAck…), introduisant au passage quelques garde-fous pour éviter toute dérive.

C'est avec un de ces acteurs (dont le nom n'est pas communiqué) que Société Générale a justement mis en place son dispositif. Comme la plupart des grands groupes traditionnels ayant recours à ce type de services, la banque a choisi une approche fermée, qui lui permet notamment de sélectionner les participants selon ses propres critères. Les montants des primes, définis avec le partenaire, varient de quelques dizaines à plusieurs milliers d'euros selon le niveau de gravité des anomalies repérées.

Bugcrowd

Société Générale fait là un bond en avant dans la sécurité de ses infrastructures et elle se déclare satisfaite des premiers résultats obtenus (en prenant soin de souligner qu'aucun défaut critique n'a été détecté !). Cependant, en pratique, sa démarche ne dépasse pas un stade expérimental. En effet, jusqu'à maintenant, le programme ne concerne que ses sites purement informationnels, à l'exclusion de toute application transactionnelle, et il n'est pas question d'étendre ce périmètre dans un avenir proche.

La limitation est notable puisque sont ainsi exclus du champ d'investigation les services les plus sensibles, autant en termes de susceptibilité aux erreurs de programmation génératrices de failles que de risques induits. Naturellement, l'ouverture de ces domaines névralgiques aux chasseurs de primes exige un surcroît d'audace et de confiance qu'il ne pas aisé de rassembler dans une banque. Mais à quoi sert une méthode innovante de cybersécurité si elle n'est pas appliquée là où elle est la plus désirable ?

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)