Qu’est-ce que la sécurité participative ?

Avant qu’un nouveau produit logiciel ne soit mis sur le marché, ses vulnérabilités sont testées. Chaque entreprise responsable effectue ces tests pour protéger à la fois ses clients et elle-même contre les cybermenaces.

Ces dernières années, les développeurs ont de plus en plus recours au crowdsourcing pour effectuer des tests de sécurité. Mais qu’est-ce que la sécurité participative exactement ? Comment fonctionne-t-elle et en quoi est-elle différente des autres méthodes populaires d’évaluation des risques ?

Comment fonctionne la sécurité participative

Les organisations de toutes tailles ont traditionnellement recours aux tests d'intrusion pour sécuriser leurs systèmes. Un Pentest est essentiellement une cyberattaque simulée qui expose des failles de sécurité, tout comme une véritable attaque. Mais contrairement à une véritable attaque, une fois détectées, ces vulnérabilités sont corrigées. Cela renforce le profil de sécurité global de l’organisation en question. Cela semble simple, non ?

Mais les tests d’intrusion posent certains problèmes. Cela n’est généralement effectué qu’une fois par an, ce qui n’est tout simplement pas suffisant, car tous les logiciels sont mis à jour régulièrement. Deuxièmement, parce que le marché de la cybersécurité est assez saturé, les sociétés de test d'intrusion « trouvent » parfois des vulnérabilités qui n'existent pas réellement pour justifier la facturation de leurs services et se démarquer de la concurrence. Il existe également des problèmes budgétaires : ces services peuvent être assez coûteux.

La sécurité participative fonctionne sur un modèle complètement différent. Il s’agit d’inviter un groupe d’individus à tester le logiciel pour des problèmes de sécurité. Les entreprises utilisant Crowdsourced Security invitent un groupe de personnes ou le grand public à tester leurs produits. Cela peut être fait directement ou via une plateforme de crowdsourcing tierce.

Bien que tout le monde puisse participer à ces programmes, le public cible principal sera les pirates informatiques ou les chercheurs. La découverte d’une faille de sécurité entraîne souvent une récompense financière substantielle. Évidemment, la détermination du montant dépend de chaque entreprise, mais le crowdsourcing est moins cher et plus efficace à long terme que les tests d'intrusion traditionnels.

Par rapport au pentesting et à d’autres formes d’évaluation des risques, le crowdsourcing présente divers avantages. Premièrement, quelle que soit la qualité de l’entreprise de tests d’intrusion que vous recrutez, un grand groupe de personnes toujours à la recherche de failles de sécurité seront plus susceptibles de les découvrir. Un autre avantage évident du crowdsourcing est que tout programme de ce type est ouvert, ce qui signifie qu'il peut fonctionner en continu, de sorte que les vulnérabilités peuvent être détectées (et corrigées) toute l'année.

3 types de programmes de sécurité participative

La plupart des programmes de sécurité participative se concentrent sur le même concept de base consistant à récompenser financièrement les découvreurs de vulnérabilités, mais ils peuvent être regroupés en trois catégories principales.

1. Recevez des bonus lorsque des bugs sont découverts

Presque tous les géants de la technologie – de Facebook à Apple en passant par Google – disposent d’un programme actif de bug bounty. Leur fonctionnement est assez simple : repérez un bug et vous recevrez une récompense. Ces récompenses varient de quelques centaines à quelques millions de dollars. Il n'est donc pas surprenant que certains pirates informatiques gagnent un revenu à plein temps en découvrant des vulnérabilités logicielles.

2. Programme de divulgation des vulnérabilités

Les programmes de divulgation des vulnérabilités sont très similaires au groupe ci-dessus, mais avec une différence clé : ces programmes sont publics. En d’autres termes, lorsqu’un pirate informatique découvre une faille de sécurité dans un produit logiciel, cette faille sera rendue publique à la connaissance de tous. Les entreprises de cybersécurité se livrent souvent à ces activités : elles découvrent des vulnérabilités, rédigent des rapports à leur sujet et font des recommandations aux développeurs et aux utilisateurs finaux.

3. Crowdsourcing de logiciels malveillants

Que se passe-t-il si vous téléchargez un fichier mais que vous n'êtes pas sûr de pouvoir l'exécuter en toute sécurité ? Comment vérifier s’il s’agit d’un malware ? Votre suite antivirus peut ne pas le reconnaître comme malveillant, vous pouvez donc accéder à VirusTotal ou à un antivirus en ligne similaire et y télécharger le fichier. Ces outils synthétisent des dizaines de produits antivirus pour vérifier si le fichier en question est nuisible ou non. Il s’agit également d’une forme de sécurité participative.

Certaines personnes pensent que la cybercriminalité est une forme de sécurité participative. Cet argument est logique, car personne n’est plus motivé à découvrir les vulnérabilités d’un système qu’un acteur malveillant cherchant à l’exploiter pour gagner de l’argent et de la gloire. Après tout, ce sont les criminels qui forcent involontairement le secteur de la cybersécurité à s’adapter, à innover et à s’améliorer.

L’avenir de la sécurité participative

Selon le cabinet d’analyse Future Market Insights, le marché mondial de la sécurité va continuer à croître dans les années à venir. En fait, selon les estimations, sa valeur atteindra environ 243 millions de dollars d’ici 2032. Cela n’est pas seulement dû aux initiatives du secteur privé, mais aussi au fait que les gouvernements du monde entier ont adopté des mesures de sécurité participatives.

Ces prédictions peuvent certainement être utiles si vous souhaitez évaluer la direction que prend le secteur de la cybersécurité, mais il n'est pas nécessaire d'être un économiste pour comprendre pourquoi les entreprises adoptent cette approche du crowdsourcing à des fins de sécurité. Quelle que soit la façon dont vous regardez les choses, les chiffres comptent. En outre, quel mal y aurait-il à avoir une équipe de personnes responsables et dignes de confiance surveillant vos actifs pour détecter les vulnérabilités 365 jours par an ?

En bref, à moins que quelque chose ne change radicalement dans la manière dont les logiciels sont compromis par les acteurs malveillants, nous sommes plus susceptibles de voir apparaître des programmes de sécurité participatifs des deux côtés. C’est une bonne nouvelle pour les développeurs, les pirates informatiques et les consommateurs, mais une mauvaise nouvelle pour les cybercriminels.