La sécurité informatique doit abandonner la politique du secret, Tiktok d’accord

Assurer la sécurité informatique en misant sur le secret n’est pas la bonne démarche, il faut passer à la transparence, selon HackerOne, société spécialisée dans la chasse aux failles informatiques dans les systèmes d’information des entreprises. Ce que l’on appelle le ‘Bug Bounty’, assuré par des hackers bienveillants, éthiques.

Une culture de la sécurité par l’obscurité

En France, plus de la moitié (57 %) des organisations maintiennent une culture de la sécurité par l’obscurité, selon l’enquête menée par HackerOne. L’étude a été réalisée auprès de 800 responsables sécurité à travers le monde. 
L’approche par l’obscurité est héritée d’une époque où les systèmes étaient moins connectés et moins accessibles, considère le prestataire.

La démarche de l’obscurité présente désormais d’importants risques concernant la pénétration des systèmes, le vol ou la destruction des données et leur chiffrement à des fins de chantage, liste la société de services. HackerOne encourage plutôt les acteurs du secteur à s’engager à plus de transparence et à développer une culture positive avec le partage de bonnes pratiques en cybersécurité. Les sociétés TikTok, Wix (spécialiste des plateformes Web et e-commerce), Starling Bank et GitLab (plateforme de gestion des développements logiciels), s’engagent auprès de HackerOne et ont rejoint cette initiative. 

« Notre ambition est d’instiller la transparence à tous les niveaux, depuis la modération du contenu jusqu’à notre programme de bug bounty [NDLR : chasse aux failles de sécurité via des hackers éthiques] » réagit Roland Cloutier, responsable mondial de la sécurité chez le média social TikTok (Global Chief Security Officer) depuis avril 2020, et anciennement Vice Président d’ADP, plateforme de gestion de la paie et des Ressources Humaines.

Divulguer les vulnérabilités potentielles pour les combler rapidement

« Avec Tiktok, nous voulons créer une plateforme sûre. Pour garder une longueur d’avance sur l’évolution des menaces, il faut collaborer avec les meilleurs experts, en les invitant à identifier et à divulguer les vulnérabilités potentielles afin que nous puissions les combler rapidement » demande-t-il. « GitLab pratique la transparence par défaut. Elle rend nos logiciels plus sûrs et nous permet de mieux collaborer et d’innover » déclare pour sa part Johnathan Hunt, vice-président sécurité au sein de GitLab.

« Aucun système n’est invulnérable. L’hyper vigilance et la planification sont les meilleurs moyens pour devancer les menaces » réagit quant à lui, Mark Rampton, responsable de la cyber sécurité chez la banque digitale Starling Bank. «  Il faut donner aux équipes internes et aux tiers, la confiance et l’espace nécessaires pour dévoiler qu’ils ont découvert une vulnérabilité. La sécurité ne peut pas être réalisée en isolement. Nous travaillons avec chaque collaborateur pour nous assurer de l’équilibre entre la sécurité, la convivialité et l’efficacité opérationnelle, afin de contribuer à la protection des fonds et des données des clients » termine-t-il.  

L’étude menée par HackerOne montre par ailleurs que les 2 tiers des entreprises françaises (64 %) préfèrent accepter leurs vulnérabilités logicielles plutôt que de travailler avec des hackers. La moitié des entreprises (52%) révèlent avoir perdu des clients à la suite d’une violation de la sécurité. Et 43 % des organisations françaises avouent ne pas être ouvertes sur leurs pratiques de cybersécurité. En outre, 56% des responsables sécurité en France admettent qu’ils entendent au sein de leur organisation le message selon lequel la sécurité ne ferait que ralentir l’innovation.

Etre responsable des meilleures pratiques

La démarche proposée consiste à encourager la transparence pour instaurer la confiance et partager des enseignements ; favoriser la collaboration afin de donner à chacun les outils nécessaires pour réduire les risques cyber ; inciter à développer des solutions qui intègrent nativement une dimension sécurité ; se tenir, au même titre que son écosystème de fournisseurs, responsables du respect des meilleures pratiques.

HackerOne compte parmi ses clients la Commission Européenne, le Ministère américain de la Défense, Booking.com, Deliveroo, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Slack, Starbucks, Twitter et Verizon Media.