YesWeHack, leader européen du Bug Bounty, accompagne les entreprises dans la mise en place de leur Politique de Divulgation des Vulnérabilités (VDP)

Alors que la plupart des organisations ont pris conscience de l’importance de la cybersécurité, peu d’entre elles disposent d’une Politique de Divulgation des Vulnérabilités (VDP). YesWeHack, leader européen du Bug Bounty, accompagne les entreprises dans toutes les étapes nécessaires à la mise en place de cet outil désormais indispensable. YesWeHack souhaite promouvoir, auprès des entreprises et organisations, les avantages d’une sécurité passive, leur permettant d’être averties des failles de sécurité sur leurs systèmes, et ainsi prévenir de potentielles cyberattaques.

Programme de Divulgation des Vulnérabilités (VDP) : qu’est-ce que c’est ?

Des chercheurs en sécurité du monde entier, et bien intentionnés, découvrent chaque jour des vulnérabilités, le plus souvent de façon fortuite, sur les actifs numériques d’entreprises. En prenant connaissance de ces informations extérieures, ces dernières améliorent leur sécurité et corrigent les vulnérabilités avant qu’elles ne soient exploitées par d’autres personnes malveillantes et se préviennent ainsi de possibles cyberattaques.

Problème : si une entreprise ne possède pas de Politique de Divulgation des Vulnérabilités (VDP), le chercheur ne sait pas toujours comment, et par quel moyen signaler les failles qu’il a découvertes. D’autant plus que dans un passé récent, de telles remontées ont pu exposer certains chercheurs, malgré leur bonne foi, à des menaces de poursuites par certaines organisations concernées. Il est donc tout naturel qu’ils ne prennent désormais plus le risque de notifier une faille sans garanties préalables.

Le service de VDP proposé par YesWeHack permet à l’entreprise de créer un canal de communication pour les chercheurs via un formulaire dédié et sécurisé. Ces derniers peuvent y rédiger un rapport détaillé sur les failles qu’ils ont détectées sur le site Internet, les produits ou les services de cette entreprise. Il offre ainsi un cadre légal et sécurisé pour les chercheurs et simplifie, pour les organisations, la gestion des vulnérabilités en interne.

Quels avantages pour l’entreprise ?

La VDP propose une approche « passive » de la gestion des vulnérabilités. Elle permet à l’entreprise d’être notifiée par des hackers éthiques ayant trouvé une faille dans ses actifs numériques. Avec des rapports structurés, adressés directement au bon interlocuteur de l’entreprise, le risque et le délai entre la détection et la remédiation de la faille sont réduits.

Avoir une Politique de Divulgation des Vulnérabilités constitue également une déclaration publique. Le VDP atteste de l’engagement de l’entreprise à améliorer sans cesse la sécurité de son système d’information ou de ses systèmes. C’est donc un signal positif auprès de ses partenaires, clients et utilisateurs sur sa posture de sécurité.

Concrètement, YesWeHack fournit à l’entreprise un formulaire de soumission de rapport de vulnérabilité. Ce dispositif permet de réduire le « bruit » (soumissions non pertinentes) et d’améliorer la qualité des rapports. Pour signaler la vulnérabilité, le chercheur doit remplir l’intégralité des champs et sa notification est directement envoyée au service compétent dans l’entreprise.

Grâce à son interface de gestion de vulnérabilités et à son API publique, YesWeHack permet également l’intégration automatisée des rapports dans les workflows de l’organisation – et de faciliter ainsi le traitement de ses failles.

L’accompagnement de YesWeHack

YesWeHack accompagne ses clients dans toutes les étapes nécessaires à la mise en place d’une Politique de Divulgation des Vulnérabilités :

Accompagnement dans la rédaction de la VDP
Publication de la politique et du formulaire de rapport intégré
Traçabilité et confidentialité des rapports
Récupération des rapports sur une interface de gestion de vulnérabilités
Intégration des rapports via une API publique et des connecteurs
Triage des rapports soumis (option)

VDP et Bug Bounty : les différences ?

De nombreux fournisseurs mêlent sur leur plateforme les programmes de Bug Bounty et de VDP. Cette confusion peut s’avérer préjudiciable pour les entreprises car les deux démarches n’ont pas les mêmes fonctionnalités et objectifs :

Afin d’éviter toute confusion, le programme de VDP n’apparaît pas sur la plateforme de Bug Bounty YesWeHack mais seulement sur une page Internet dédiée de l’entreprise.

Plus d’informations sur le programme de VDP YesWeHack : ici

Découvrir le programme de VDP en images : ici

YesWeHack, leader européen du Bug Bounty, accompagne les entreprises dans la mise en place de leur Politique de Divulgation des Vulnérabilités (VDP)

Programme de Divulgation des Vulnérabilités (VDP) : qu’est-ce que c’est ?

Quels avantages pour l’entreprise ?

L’accompagnement de YesWeHack

VDP et Bug Bounty : les différences ?

Written by Morgane Palomo

La Cybersécurité : protéger les collectivités territoriales et les services publics

SAS2021 : La porte dérobée Tomiris suggérerait que le groupe de hackers à l’origine de la cyberattaque Sunburst est de nouveau actif

Rapport mondial sur les risques PC d’Avast : Risque accru de cyberattaques pour les entreprises depuis le début de la pandémie

Paramètres de confidentialité : quels sont les services et plateformes en ligne dans le viseur des internautes ?

Rentrée scolaire et cybersécurité

HDFID adopte NeverBeHacked, la solution française de cyber sécurité

Box internet 4G et cybersécurité des entreprises

Construire un plan de carrière efficace avec une LXP

Formation en gestion de crise environnementale pour les industries à risque

Développer des modules de formation en stratégies de marketing numérique pour les entrepreneurs

Stratégies pour augmenter la clientèle dans les petits cafés et boulangeries

Comment les petites entreprises de services de jardinage peuvent-elles se développer localement ?