Pour gérer vos consentements :

Wavestone tente de privatiser le Bug Bounty

A l’occasion de la présentation de ses nouveaux locaux (ci-dessus), situés à La Défense, l’activité cybersécurité de Wavestone a levé le voile sur une nouvelle offre à mi-chemin entre l’audit de sécurité et le Bug Bounty, ces concours de recherche de failles ouverts aux chercheurs indépendants et souvent associés à des récompenses financières. Le cabinet de conseil, fruit de la fusion de Solucom et de Kurt Salmon (2500 personnes dont 400 spécialistes de cybersécurité), a en réalité imaginé une forme privatisée de Bug Bounty, au sein de laquelle la recherche de failles est effectuée par, et uniquement par, les spécialistes de l’audit de sécurité du cabinet, soit une quarantaine d’experts.

Pour Yann Filliat, le responsable du département audit de sécurité de Wavestone, la naissance de cette offre part d’un constat : « Le Bug Bounty présente de nombreux intérêts pour les entreprises : l’accès à une communauté de chercheurs, l’absence de dépense si aucune faille n’est décelée, la possibilité de réaliser une opération à la carte ou encore la valorisation de la sécurité au sein des organisations, par exemple en refacturant le coût des failles découvertes aux équipes projet. Mais ce mode de chasse aux vulnérabilités soulève aussi de nombreuses questions au sein des entreprises : qui va auditer mon site ? ; quelle garantie ai-je que mon site soit effectivement testé ? ; quel est le niveau de confidentialité offert par rapport aux failles découvertes ? ; quid de la qualité de la documentation ?, etc. »

« Tordre le modèle du Bug Bounty »

C’est en partant de ce constat mi-chèvre mi-chou que Wavestone a décidé de « tordre un peu le modèle du Bug Bounty », selon l’expression de Gérôme Billois, senior manager en gestion des risques et sécurité chez Wavestone. Avec donc un concours de recherche de failles réservé aux seuls auditeurs du cabinet de conseil, mais aussi une garantie de réalisation, avec des experts dûment affectés aux missions. « Par contre, la facturation repose bien sur le nombre de failles mises en évidence », explique Yann Filliat. En plus d’un ticket d’entrée d’environ un millier d’euros, le client s’acquitte de quelques centaines à quelques milliers d’euros par vulnérabilité découverte ; le tarif unitaire dépendant de la gravité de la lacune. C’est le client qui définit évidemment la cible des recherches (l’offre de Wavestone est aujourd’hui avant tout taillée pour les sites Internet), mais aussi la durée de l’étude et le budget maximal.

« Nous ne recommandons pas le Bug Bounty à un client affichant un niveau de sécurité moyen. C’est plus une offre cerise sur le gâteau, qui vient après un audit classique », détaille Gérôme Billois, qui assure que ce service n’est pas concurrent des plateformes spécialisées (comme Bounty Factory ou Yogosha). Le Bug Bounty privé de Wavestone est pour l’heure en bêta, et sera encore en rodage pendant au moins un trimestre, indique le cabinet de conseil.

A lire aussi :

Bug Bounty : les chasseurs de bug cèdent-ils à la facilité ?

Google généreux pour une zero day sur Android Nougat

Une faille zero day sur iOS 9 vaut 500 000 dollars

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

15 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

22 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

24 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago