Qu’est-ce que la sécurité collaborative ?

Avant qu’un nouveau produit logiciel n’arrive sur le marché, il est testé pour ses vulnérabilités. Chaque entreprise responsable effectue ces tests, afin de protéger ses clients et elle-même des cybermenaces.

Ces dernières années, les développeurs ont de plus en plus recours au crowdsourcing pour mener des enquêtes de sécurité. Mais qu’est-ce que la sécurité participative ? Comment cela fonctionne-t-il et comment se compare-t-il aux autres méthodes courantes d’évaluation des risques ?

Comment fonctionne la sécurité collaborative

Les organisations de toutes tailles ont traditionnellement utilisé des tests d’intrusion pour sécuriser leurs systèmes. Le test d’intrusion est essentiellement une cyberattaque simulée qui vise à exposer les failles de sécurité, tout comme le ferait une véritable attaque. Mais contrairement à une attaque réelle, une fois découvertes, ces vulnérabilités sont corrigées. Cela renforce le profil de sécurité global de l’organisation en question. Cela semble simple.

Mais il y a des problèmes flagrants avec les tests de pénétration. Il est généralement effectué chaque année, ce qui n’est tout simplement pas suffisant, étant donné que tous les logiciels sont mis à jour régulièrement. Deuxièmement, parce que le marché de la cybersécurité est plutôt saturé, les entreprises de pentesting « trouvent » parfois des vulnérabilités là où il n’y en a pas vraiment pour justifier de facturer leurs services et se démarquer de leurs concurrents. Ensuite, il y a aussi des problèmes budgétaires – ces services peuvent être assez coûteux.

La sécurité participative fonctionne sur un modèle entièrement différent. Il s’agit d’inviter un groupe d’individus à tester un logiciel pour des problèmes de sécurité. Les entreprises qui utilisent des tests de sécurité participatifs invitent un groupe de personnes, ou le public en tant que tel, à sonder leurs produits. Cela peut être fait directement ou via une plateforme de crowdsourcing tierce.

Bien que n’importe qui puisse rejoindre ces programmes, ce sont principalement les hackers éthiques (white hat hackers) ou les chercheurs, comme on les appelle dans la communauté, qui y participent. Et ils participent parce qu’il y a généralement une récompense financière décente pour la découverte d’une faille de sécurité. Évidemment, c’est à chaque entreprise de déterminer les sommes, mais on peut affirmer que le crowdsourcing est moins cher et plus efficace à long terme que les tests d’intrusion traditionnels.

Par rapport aux tests d’intrusion et à d’autres formes d’évaluation des risques, le crowdsourcing présente de nombreux avantages différents. Pour commencer, quelle que soit la qualité d’une entreprise de test d’intrusion que vous embauchez, un grand groupe de personnes recherchant constamment des vulnérabilités de sécurité est beaucoup plus susceptible de les découvrir. Un autre avantage évident du crowdsourcing est que tout programme de ce type peut être ouvert, ce qui signifie qu’il peut fonctionner en continu, de sorte que les vulnérabilités peuvent être découvertes (et corrigées) tout au long de l’année.

3 types de programmes de sécurité externalisés

La plupart des programmes de sécurité collaboratifs sont centrés sur le même concept de base consistant à récompenser financièrement ceux qui découvrent une faille ou une vulnérabilité, mais ils peuvent être regroupés en trois catégories principales.

1. Primes de bogues

Pratiquement tous les géants de la technologie, de Facebook à Apple en passant par Google, ont un programme actif de primes aux bogues. Leur fonctionnement est assez simple : découvrez un bug et vous recevrez une récompense. Ces récompenses vont de quelques centaines de dollars à quelques millions, il n’est donc pas étonnant que certains pirates éthiques gagnent des revenus à plein temps en découvrant des vulnérabilités logicielles.

2. Programmes de divulgation des vulnérabilités

Les programmes de divulgation de vulnérabilités sont très similaires aux primes de bogues, mais il y a une différence essentielle : ces programmes sont publics. En d’autres termes, lorsqu’un pirate éthique découvre une faille de sécurité dans un produit logiciel, cette faille est rendue publique afin que tout le monde sache de quoi il s’agit. Les entreprises de cybersécurité y participent souvent : elles repèrent une vulnérabilité, rédigent un rapport à ce sujet et proposent des recommandations au développeur et à l’utilisateur final.

3. Crowdsourcing de logiciels malveillants

Que faire si vous téléchargez un fichier, mais que vous n’êtes pas sûr qu’il puisse être exécuté en toute sécurité ? Comment vérifier s’il s’agit d’un malware ? Si vous avez réussi à le télécharger en premier lieu, votre suite antivirus n’a pas réussi à le reconnaître comme malveillant, vous pouvez donc vous diriger vers VirusTotal ou un scanner en ligne similaire et le télécharger là-bas. Ces outils regroupent des dizaines de produits antivirus pour vérifier si le fichier en question est nuisible. Cela aussi est une forme de sécurité participative.

Certains affirment que la cybercriminalité est une forme de sécurité participative, sinon la forme ultime de celle-ci. Cet argument a certainement du mérite, car personne n’est plus incité à trouver une vulnérabilité dans un système qu’un acteur menaçant cherchant à l’exploiter à des fins monétaires et de notoriété.

En fin de compte, ce sont les criminels qui forcent par inadvertance le secteur de la cybersécurité à s’adapter, à innover et à s’améliorer.

L’avenir de la sécurité collaborative

Selon la société d’analyse Future Market Insights , le marché mondial de la sécurité collaborative continuera de croître dans les années à venir. En fait, selon les estimations, il vaudra environ 243 millions de dollars d’ici 2032. Ce n’est pas seulement dû aux initiatives du secteur privé, mais aussi parce que les gouvernements du monde entier ont adopté la sécurité participative – plusieurs agences gouvernementales américaines ont des programmes actifs de prime aux bogues et de divulgation des vulnérabilités, par exemple.

Ces prévisions peuvent certainement être utiles si vous souhaitez évaluer dans quelle direction évolue l’industrie de la cybersécurité, mais il n’est pas nécessaire d’être économiste pour comprendre pourquoi les entreprises adoptent une approche de crowdsourcing en matière de sécurité. Quelle que soit la façon dont vous envisagez le problème, les chiffres sont vérifiés. De plus, quel pourrait être le mal à avoir un groupe de personnes responsables et dignes de confiance surveillant vos actifs pour les vulnérabilités 365 jours par an ?

En bref, à moins que quelque chose ne change radicalement la façon dont les logiciels sont pénétrés par les acteurs de la menace, nous sommes plus que susceptibles de voir des programmes de sécurité externalisés apparaître à gauche et à droite. C’est une bonne nouvelle pour les développeurs, les pirates informatiques et les consommateurs, mais une mauvaise nouvelle pour les cybercriminels.

Crowdsourcing de la sécurité pour se protéger contre la cybercriminalité

La cybersécurité existe depuis le premier ordinateur. Il a pris de nombreuses formes au fil des ans, mais l’objectif a toujours été le même : protéger contre les accès non autorisés et le vol. Dans un monde idéal, il n’y aurait pas besoin de cybersécurité. Mais dans le monde réel, se protéger fait toute la différence.

Tout ce qui précède s’applique aux entreprises et aux particuliers. Mais alors que la personne moyenne peut rester relativement en sécurité en ligne tant qu’elle suit les protocoles de sécurité de base, les organisations ont besoin d’une approche globale des menaces potentielles. Une telle approche devrait principalement être fondée sur une sécurité zéro confiance.