Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La Poste Suisse lance un programme de Bug Bounty public avec YesWeHack

avril 2021 par Marc Jacob

YesWeHack annonce le lancement d’un programme de Bug Bounty public pour La Poste Suisse. Si la société de service postal a été l’une des premières entreprises suisses à lancer un programme privé de Bug Bounty en 2020, elle l’ouvre désormais à l’ensemble de la communauté de cybersécurité YesWeHack.

La Poste suisse est l’une des marques les plus anciennes et les plus connues de Suisse. En mai 2020, l’entreprise a décidé de tirer parti de la richesse et de la diversité de la communauté YesWeHack pour renforcer la sécurité de ses produits numériques, en plus des tests de sécurité existants. Pour ce faire, la Poste a d’abord commencé avec 20 hackers éthiques sélectionnés, et en a progressivement invité d’autres à rejoindre la chasse aux vulnérabilités. Ainsi, quelques centaines de hackers éthiques ont participé au programme privé.
« Depuis le début du programme, nous avons identifié 500 vulnérabilités et versé environ 226 000€– de récompenses », indique Marcel Zumbühl, Responsable de la Sécurité des Sytèmes d’information de La Poste Suisse.

Le programme public donne accès à 23 000 hackers

La Poste Suisse va maintenant plus loin : les services en ligne précédemment testés en programme privé sont désormais testés dans le cadre d’un programme public. Les hackers éthiques ne pouvaient auparavant rechercher des failles de sécurité que sur invitation. Désormais, les 23 000 chercheurs de la communauté YesWeHack peuvent participer au programme. En retour, ils recevront jusqu’à 10 000€ de récompense pour une vulnérabilité critique. Le programme public de Bug Bounty commencera initialement avec onze périmètres, qui ont d’ores et déjà été améliorés dans le cadre du programme de Bug Bounty privé. Il est prévu d’ajouter d’autres services au programme.

Si des vulnérabilités sont détectées sur des services qui ne font pas partie du programme public de Bug Bounty, celle-ci peuvent être signalées à La Poste Suisse par le biais de leur Politique de divulgation de vulnérabilités (VDP). La VDP sert de canal de communication et offre aux chercheurs en sécurité un cadre légal et sécurisé pour le signalement des vulnérabilités.

Avantages évidents du Bug Bounty : crowdsourcing et transparence

"Le Bug Bounty applique le principe du crowdsourcing à la cybersécurité. Grâce à la plateforme YesWeHack, les entreprises ont accès à plusieurs milliers de hackers éthiques qui offrent un vaste spectre de compétences, permettant de couvrir l’ensemble des périmètres » explique Guillaume Vassault-Houlière, PDG et cofondateur de YesWeHack. "Par ailleurs, les programmes publics de Bug Bounty apportent transparence et confiance aux usagers. Ils démontrent l’engagement d’une entreprise envers sa sécurité informatique et la protection des données de ses utilisateurs. Nous sommes très heureux que La Poste, l’une des plus grandes entreprises suisses, compte sur YesWeHack pour l’aider à rendre ses produits numériques encore plus sûrs."


Voir les articles précédents

    

Voir les articles suivants