A l’occasion de la présentation de ses nouveaux locaux (ci-dessus), situés à La Défense, l’activité cybersécurité de Wavestone a levé le voile sur une nouvelle offre à mi-chemin entre l’audit de sécurité et le Bug Bounty, ces concours de recherche de failles ouverts aux chercheurs indépendants et souvent associés à des récompenses financières. Le cabinet de conseil, fruit de la fusion de Solucom et de Kurt Salmon (2500 personnes dont 400 spécialistes de cybersécurité), a en réalité imaginé une forme privatisée de Bug Bounty, au sein de laquelle la recherche de failles est effectuée par, et uniquement par, les spécialistes de l’audit de sécurité du cabinet, soit une quarantaine d’experts.
Pour Yann Filliat, le responsable du département audit de sécurité de Wavestone, la naissance de cette offre part d’un constat : « Le Bug Bounty présente de nombreux intérêts pour les entreprises : l’accès à une communauté de chercheurs, l’absence de dépense si aucune faille n’est décelée, la possibilité de réaliser une opération à la carte ou encore la valorisation de la sécurité au sein des organisations, par exemple en refacturant le coût des failles découvertes aux équipes projet. Mais ce mode de chasse aux vulnérabilités soulève aussi de nombreuses questions au sein des entreprises : qui va auditer mon site ? ; quelle garantie ai-je que mon site soit effectivement testé ? ; quel est le niveau de confidentialité offert par rapport aux failles découvertes ? ; quid de la qualité de la documentation ?, etc. »
C’est en partant de ce constat mi-chèvre mi-chou que Wavestone a décidé de « tordre un peu le modèle du Bug Bounty », selon l’expression de Gérôme Billois, senior manager en gestion des risques et sécurité chez Wavestone. Avec donc un concours de recherche de failles réservé aux seuls auditeurs du cabinet de conseil, mais aussi une garantie de réalisation, avec des experts dûment affectés aux missions. « Par contre, la facturation repose bien sur le nombre de failles mises en évidence », explique Yann Filliat. En plus d’un ticket d’entrée d’environ un millier d’euros, le client s’acquitte de quelques centaines à quelques milliers d’euros par vulnérabilité découverte ; le tarif unitaire dépendant de la gravité de la lacune. C’est le client qui définit évidemment la cible des recherches (l’offre de Wavestone est aujourd’hui avant tout taillée pour les sites Internet), mais aussi la durée de l’étude et le budget maximal.
A lire aussi :
Bug Bounty : les chasseurs de bug cèdent-ils à la facilité ?
Google généreux pour une zero day sur Android Nougat
Une faille zero day sur iOS 9 vaut 500 000 dollars
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).