Avant qu’un nouveau produit logiciel ne soit mis sur le marché, ses vulnérabilités sont testées. Chaque entreprise responsable effectue ces tests pour protéger à la fois ses clients et elle-même contre les cybermenaces.
Ces dernières années, les développeurs ont de plus en plus recours au crowdsourcing pour effectuer des tests de sécurité. Mais qu’est-ce que la sécurité participative exactement ? Comment fonctionne-t-elle et en quoi est-elle différente des autres méthodes populaires d’évaluation des risques ?
Comment fonctionne la sécurité participative
Les organisations de toutes tailles ont traditionnellement recours aux tests d'intrusion pour sécuriser leurs systèmes. Un Pentest est essentiellement une cyberattaque simulée qui expose des failles de sécurité, tout comme une véritable attaque. Mais contrairement à une véritable attaque, une fois détectées, ces vulnérabilités sont corrigées. Cela renforce le profil de sécurité global de l’organisation en question. Cela semble simple, non ?
Mais les tests d’intrusion posent certains problèmes. Cela n’est généralement effectué qu’une fois par an, ce qui n’est tout simplement pas suffisant, car tous les logiciels sont mis à jour régulièrement. Deuxièmement, parce que le marché de la cybersécurité est assez saturé, les sociétés de test d'intrusion « trouvent » parfois des vulnérabilités qui n'existent pas réellement pour justifier la facturation de leurs services et se démarquer de la concurrence. Il existe également des problèmes budgétaires : ces services peuvent être assez coûteux.
La sécurité participative fonctionne sur un modèle complètement différent. Il s’agit d’inviter un groupe d’individus à tester le logiciel pour des problèmes de sécurité. Les entreprises utilisant Crowdsourced Security invitent un groupe de personnes ou le grand public à tester leurs produits. Cela peut être fait directement ou via une plateforme de crowdsourcing tierce.
Bien que tout le monde puisse participer à ces programmes, le public cible principal sera les pirates informatiques ou les chercheurs. La découverte d’une faille de sécurité entraîne souvent une récompense financière substantielle. Évidemment, la détermination du montant dépend de chaque entreprise, mais le crowdsourcing est moins cher et plus efficace à long terme que les tests d'intrusion traditionnels.
Par rapport au pentesting et à d’autres formes d’évaluation des risques, le crowdsourcing présente divers avantages. Premièrement, quelle que soit la qualité de l’entreprise de tests d’intrusion que vous recrutez, un grand groupe de personnes toujours à la recherche de failles de sécurité seront plus susceptibles de les découvrir. Un autre avantage évident du crowdsourcing est que tout programme de ce type est ouvert, ce qui signifie qu'il peut fonctionner en continu, de sorte que les vulnérabilités peuvent être détectées (et corrigées) toute l'année.
3 types de programmes de sécurité participative
La plupart des programmes de sécurité participative se concentrent sur le même concept de base consistant à récompenser financièrement les découvreurs de vulnérabilités, mais ils peuvent être regroupés en trois catégories principales.
1. Recevez des bonus lorsque des bugs sont découverts
Presque tous les géants de la technologie – de Facebook à Apple en passant par Google – disposent d’un programme actif de bug bounty. Leur fonctionnement est assez simple : repérez un bug et vous recevrez une récompense. Ces récompenses varient de quelques centaines à quelques millions de dollars. Il n'est donc pas surprenant que certains pirates informatiques gagnent un revenu à plein temps en découvrant des vulnérabilités logicielles.
2. Programme de divulgation des vulnérabilités
Les programmes de divulgation des vulnérabilités sont très similaires au groupe ci-dessus, mais avec une différence clé : ces programmes sont publics. En d’autres termes, lorsqu’un pirate informatique découvre une faille de sécurité dans un produit logiciel, cette faille sera rendue publique à la connaissance de tous. Les entreprises de cybersécurité se livrent souvent à ces activités : elles découvrent des vulnérabilités, rédigent des rapports à leur sujet et font des recommandations aux développeurs et aux utilisateurs finaux.
3. Crowdsourcing de logiciels malveillants
Que se passe-t-il si vous téléchargez un fichier mais que vous n'êtes pas sûr de pouvoir l'exécuter en toute sécurité ? Comment vérifier s’il s’agit d’un malware ? Votre suite antivirus peut ne pas le reconnaître comme malveillant, vous pouvez donc accéder à VirusTotal ou à un antivirus en ligne similaire et y télécharger le fichier. Ces outils synthétisent des dizaines de produits antivirus pour vérifier si le fichier en question est nuisible ou non. Il s’agit également d’une forme de sécurité participative.
Certaines personnes pensent que la cybercriminalité est une forme de sécurité participative. Cet argument est logique, car personne n’est plus motivé à découvrir les vulnérabilités d’un système qu’un acteur malveillant cherchant à l’exploiter pour gagner de l’argent et de la gloire. Après tout, ce sont les criminels qui forcent involontairement le secteur de la cybersécurité à s’adapter, à innover et à s’améliorer.
L’avenir de la sécurité participative
Selon le cabinet d’analyse Future Market Insights, le marché mondial de la sécurité va continuer à croître dans les années à venir. En fait, selon les estimations, sa valeur atteindra environ 243 millions de dollars d’ici 2032. Cela n’est pas seulement dû aux initiatives du secteur privé, mais aussi au fait que les gouvernements du monde entier ont adopté des mesures de sécurité participatives.
Ces prédictions peuvent certainement être utiles si vous souhaitez évaluer la direction que prend le secteur de la cybersécurité, mais il n'est pas nécessaire d'être un économiste pour comprendre pourquoi les entreprises adoptent cette approche du crowdsourcing à des fins de sécurité. Quelle que soit la façon dont vous regardez les choses, les chiffres comptent. En outre, quel mal y aurait-il à avoir une équipe de personnes responsables et dignes de confiance surveillant vos actifs pour détecter les vulnérabilités 365 jours par an ?
En bref, à moins que quelque chose ne change radicalement dans la manière dont les logiciels sont compromis par les acteurs malveillants, nous sommes plus susceptibles de voir apparaître des programmes de sécurité participatifs des deux côtés. C’est une bonne nouvelle pour les développeurs, les pirates informatiques et les consommateurs, mais une mauvaise nouvelle pour les cybercriminels.
MalwareBytes est un outil de détection et de suppression de logiciels malveillants disponible gratuitement et dispose également d'une version premium qui ajoute des fonctionnalités importantes. Il est capable de détecter et de supprimer tous les types de logiciels malveillants, notamment les logiciels espions, les chevaux de Troie, les vers et même les ransomwares.
L'article d'aujourd'hui vous aidera à trouver la meilleure méthode d'utilisation de la restauration du système, en déterminant sa taille complète sur un PC ou un ordinateur portable Windows 10.
Récemment, Microsoft a publié la mise à jour Windows 10 Insider build 17682 avec de nombreuses fonctionnalités améliorées qui promettent de rendre Windows plus stable et d'améliorer les performances.
Cette application peut suivre toutes les fenêtres que vous avez utilisées pendant la journée. Vous avez juste besoin d'AutoHotKey, d'un traitement de texte de base comme le Bloc-notes, et d'environ une demi-heure.
VirtualBox est un excellent logiciel, notamment pour les développeurs. Vous pouvez rencontrer des problèmes de performances et l’intégration avec le système d’exploitation de base (également appelé système d’exploitation « hôte ») n’est pas très adaptée.
Pour pouvoir faire défiler une page ou une fenêtre sous Windows 10, en plus d'utiliser la souris, on va déplacer notre doigt de haut en bas sur le Touchpad. Cependant, on peut également modifier cette opération par défaut avec une opération assez simple.
Les smartphones disposent aujourd'hui de nombreuses nouvelles fonctionnalités et sont considérés comme des ordinateurs miniatures. Cependant, tout ne peut pas être fait sur cet appareil. Microsoft comprend cela, c'est pourquoi avec la prochaine mise à jour Fall Creators, la société introduira une nouvelle fonctionnalité de liaison téléphone à PC qui permettra aux utilisateurs de travailler sur le téléphone, puis de le transférer vers le système Windows 10.
Windows Hello est une nouvelle fonctionnalité pratique et utile intégrée par Microsoft à Windows 10 avec la possibilité de reconnaître les visages des utilisateurs, de prendre en charge la sécurité ainsi que de prendre en charge une connexion plus rapide lors de l'utilisation du système d'exploitation.
Windows 10 Mobile est une combinaison du système d'exploitation Windows sur les smartphones que Microsoft a récemment étudié et développé pour se concentrer sur l'exploitation des utilisateurs.
Le pare-feu Windows est intégré au système d'exploitation Windows et constitue un élément important du système de sécurité. Cependant, au fil du temps, de plus en plus d'applications sont approuvées sur le pare-feu. Cependant, heureusement, vous pouvez toujours réinitialiser le pare-feu Windows à ses paramètres par défaut d'origine.
